ISO 27001 & 22301 - Expert Advice Community

Questions about vulnerability analysis

1. El análisis de vulnerabilidades técnicas a los activos de información los puede hacer la misma organización o los debería contratar con un proveedor externo especializado en seguridad ?

2. la empresa compró un appliance para el análisis de vulnerabilidades técnicas a los activos digitales, el dispositivo será gestionado por el personal del área de sistemas, eso podría generar una no conformidad en caso de una auditoría de tercera parte?

3, Cuáles son las recomendaciones para la gestión de los análisis de vulnerabilidades y Pruebas de intrusión a los activos digitales?

Set of ISO 27001 questions

1. Que es el etiquetado de datos? a qué activos aplica el etiquetado de datos?

Cuales son las buenas prácticas para el etiquetado de datos?
me pueden dar ejemplos de etiquetado de datos?

2. Que relación tienen la tasación de activos y/O  identificar el nivel de importancia del activo  con el análisis de riesgos?
Finalmente para que me sirve la tasación de activos?

3. El nivel de importancia de los activos calculado en la tasación de activos a partir del análisis de  la confidencialidad, la integridad y la disponibilidad  del activo es lo que se utiliza para estimar en el análisis de riesgos el impacto en el negocio si se materializa un riesgo?

4. Cuales son los procesos de seguridad de la Información que se deben documentar?

5. Cómo se pueden monitorear los riesgos de seguridad de la información, y el plan de tratamiento de los riesgos?

6. Qué plantillas puedo utilizar para monitorear los riesgos y el plan de tratamiento de Riesgos?

7. Cuando voy a recibir la actualización del toolkit con la nueva versión de iso 27001:2022

Documents missing in toolkit

Can you please advise if there are some documents that cover vulnerability management, or exception management.

It was nt possible to find "vulnerability management, or exception management" in the toolkit.

Question about Annex A and SOA

I am now working on the SOA document and am looking at Annex A chapter 7. We do not have a physical office / building and are working remote. That means that Annex A 7.1 , 7.2 , 7.3, 7.4 and 7.5 are not applicable to us?  But are mentioned in a contract with the datacenter instead?

ISO 27001 Vs NIST

What are the main diffrences between ISO 27001 and NIST? How can I know what is best for any organization?

Questions about information security risks ISO 27001

1. Que tan amplio, completo y detallado debe ser un análisis y tratamiento de riesgos de seguridad de la Información?

2. El análisis  y el plan de tratamiento de riesgos se debe realizar también a:

Personas
Procesos
Instalaciones Físicas
Activos No digitales

O solo se le hace a los activos digitales como servidores, aplicaciones, servicios?

3. Como se debe describir correctamente un riesgo, en algunos ejemplos que he visto de internet veo que redactan amenazas como riesgos, incluso he visto casos donde el riesgo lo escriben como el atributo de seguridad que podría verse afectado.

4. En la descripción de un riesgo debe tener explícito la amenaza y la vulnerabilidad que podría ser aprovechada por  la amenaza?

5. Que guías puedo usar para la evaluación de los controles existentes y qué metodología puedo usarse para recalcular el riesgo luego de calificar los controles existentes y determinar qué tanto se afecta la probabilidad de ocurrencia y/O  el impacto del riesgo?

6. A un servidor web se le hizo un análisis de vulnerabilidades con un software de análisis de seguridad y no se encontraron vulnerabilidades , quiere decir que no tiene riesgos? Porque para que existan riesgos deben haber vulnerabilidades.

Sin embargo a pesar de que los análisis de seguridad no encontraron vulnerabilidades  creería que sí se deberían redactar riesgos o cómo se gestionan estos casos donde aparentemente no hay vulnerabilidades?

Filling document

Por favor necistamos saber como debemos llenar el documento "A.14.1_Apendice_1_Especificaciones_requisitos_sistema_info_27001_ES", ¿este apendice o ficha se debe llenar por cada sistema de informacion que tiene el cliente "Mas Consultores"?

ISO documents management (Delegation)

I have two different cases during the ISO implementation related to documents owner and rules & responsibilities.

first: during implementation, the iso 22301 the CISO was assigned to be the BCM Manager with R&R under this title and he was the documents owner too. the project finished and after a while the CISO resigned, and we need to delegate someone on behalf of him.
Q:---what are the needed changes should be done on these documents? document owner, add new title under rules and responsibilities.
or the delegation letter from the top management for will cover this and no need to change the documents?
------
Second: during implementation, the iso 27001 there was not an information security manager, the ISM is defined in Company structure with R&R under this title and they are going to hair one next year due to the small size company and he will be officially the A&R person for all documents and project.
Q:---what are the needed changes should be done on these documents? ISMS Manager, add new title under rules and responsibilities.
or the delegation letter from the top management for until hair the ISM will cover this and no need to change the documents?.

Thank you very much and I'm looking forward to hear back from you soon

Mandatory documents or not

We have bought your tool kit for implementation ISO27001:2013 and I’ve used the summary enclosed in this mail as guidelines to what we need to implement as we are on a very tight timeline.

Yesterday I was in a meeting with a consultant that we have hired to prepare us for the upcoming certification process. He then asked why I had not produced documents according to the demands in the Annex to which I replied that they are not mandatory to the certification.

He did not agree. My instructions to him has been that we need to apply the least amount of documentation to implement new routines and at the same time get certified. It is our absolute goal to fulfil and implement all requirements but we have to take it slow as I have another fulltime job at our company. I’ve taken on this job as it is often a requirement from my customers and we need to have the certification asap. It is however agreed that we also need the policies and instructions to live by but the further job of implementing och create new ways to get our job done will not be led by me but by a newly recruited CISO (has not yet started).

I’m sorry for the long mail, but I need clarification to this question. We have now 4 weeks left to the pre revision and I must know if I have to make sure that all documentation is produced. I have implemented a lot, and initiated other changes, but the documents are not ready, neither is the implementation completed because I thought I had more time. I would therefore very much like to hear your opinion on the matter. 

Examples (not a complete list) that are not mandatory according to your overview is;

A.8.3 Information Classification Policy

A.11.1 Clear Desk and Clear Screen Policy (Note: it may be implemented as part of IT Security Policy)

A.13 Information Transfer Policy (Note: it may be implemented as part of Security Procedures for IT Department)

A.17.2 Business Impact Analysis Methodology

Question about eBook

Last week, I bought “ (eBook) Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own”.

Is there a supplementary document to describe the impact that ISO 27001:2022, has on the ebook?