ISO 27001 & 22301 - Expert Advice Community

Home / ISO 27001 & 22301

Discussions

Top Contributors

Expert

Rhand Leal

4151
Discussions
Expert

Carlos Pereira da Cruz

1915
Discussions
Expert

Dejan Kosutic

365
Discussions

Most Popular Tags

Product: Conformio Product: ISO 27001 Documentation Toolkit Product: ISO 13485 & MDR Integrated Documentation Toolkit ISO 27001 ISO 9001 Product: ISO 27001 & ISO 22301 Premium Documentation Toolkit Risk Assessment Product: ISO 13485 Documentation Toolkit ISMS register of requirements Internal Audit Product: ISO 27001 & ISO 27017 & ISO 27018 Cloud Documentation Toolkit Product: ISO 27001/Risk Assessment Table ISO 14001 Product: ISO 27001 Internal Auditor Course
Select
CREATE NEW TOPIC +
Guest

Guest

Create New Topic As guest or Sign in

HTML tags are not allowed

Select

Assign topic to the user

  • Management representative in ISMS

    My question is about roles and responsibilities in 27001. What do you think Management Representative's (MR) position in ISMS. If we have CISO, Do we still need MR. If we have both of them, what is the difference between their responsibilities.

  • Maximum Allowable Outage

    Hi...if the financial impact produces a high result and the non-financial impact produces a marginal result or no result at all, what would be the MAO?

  • La Política de Seguridad de la Información

    He recibido la siguiente pregunta: La política de seguridad de la información que incluye el paquete de documentos se puede clasificar como pública?? Además sería necesario implementar otras políticas de alto nivel como por ejemplo la “Política de Seguridad” (Generál), y la Política del SGSI?? Respuesta: "Pública" significa que puede ser visto por todo el mundo, y aunque algunas empresas definen este documento como público, publicándolo en sus páginas webs, a mi no me gusta, porque el documento puede mostrar información sobre la organización que puede ser utilizada por atacantes (soy hacker etico, y puedo usar esta información para preparar un ataque). Por tanto, mi recomendación es clasificar este documento como "Interno". Más información: "Information classification according to ISO 27001" https://advisera.com/27001academy/blog/2014/05/12/information-classification-according-to-iso-27001/ Con respecto al documento de la política, recomiento tener 1 única Política de Seguridad de la Información. Esto te puede interesar: "One Information Security Policy, or several p olicies?" https://advisera.com/27001academy/blog/2013/06/18/one-information-security-policy-or-several-policies/ Y también te puede interesar esto: "Política de seguridad de la información: ¿Qué nivel de detalle debería de tener?" https://advisera.com/27001academy/es/blog/2010/05/26/politica-de-seguridad-de-la-informacion-que-nivel-de-detalle-deberia-tener/ Y puedes descargarte una versión gratuita del documento aquí : https://advisera.com/27001academy/es/documentation/politica-del-sgsi/

  • Aplicar ISO 27001 y OWASP

    He recibido la siguiente pregunta: En mi empresa el principal problema es que queremos aplicarlo la ISO 27001 con owasp para mejorar el aseguramiento de la seguridad en el proceso de desarrollo de aplicaiones web. no sabemos si es correcto o talvez aplciar otra ISO? Respuesta: Es correcto, puedes aplicar ISO 27001 con OWASP. El principal objetivo de ISO 27001 es la protección de la información, y para esto, el estándar usa la gestión de riesgos, que está compuesta por el análisis de riesgos y el tratamiento de riesgos. Por tanto, básicamente, para la protección de la información, tienes que identificar riesgos, y después tienes que tratarlos. Para el tratamiento de riesgos, ISO 27001 tiene el anexo A con 114 controles de seguridad, y existen controles específicos para el desarrollo software (en el dominio A.14), que pueden ser complementados con OWASP, que básicamente es un marco de trabajo para el desarrollo seguro. Este artículo sobre como integrar ISO 27001 con el ciclo de vida de desarrollo software te puede interesar: https://advisera.com/27001academy/how-to-integrate-iso-27001-controls-into-the-system-software-development-life-cycle-sdlc/

  • ISO27001/002/005 and EU GDPR plus PCI-DS

    I am tasked with spearheading our compliance efforts. I've worked some years in computing security, but this task is new and is driven by a need to comply with requirements of a new contract the company is in the last phases of winning. The company size is around 100 employees. We also have 1099 contract workers. I think your ISO27001 and EUGDPR toolkit will help us, but do you also have a toolkit for PCI-DSS or can recommend a good one?

  • Mandatory documents for ISO 27001

    In the document 01.2_Project_Plan_Integrated_EN, under the Paragraph 3.2 Project results, we see a list of documents that seem to be compliant with both ISO and GDPR. Is it possible to know which of them are mandatory just for the ISO 27001?

  • Organizing IT area

    IT area is a chaos, it has different subareas (Service desk, infrastructure, security, information security) each area works alone and each area takes its own decisions according its criteria and of course, you can imagine the impact to the organization.

  • Implementación de la ISO 22301

    He recibido la siguiente pregunta: Estoy especialmente interesando en el paquete de implementación de ISO 22301. Por favor quisiera saber los tiempos, recursos necesarios y mayores retos para la implementación del mismo. Adicionalmente, en qué momento debería contactar a la certificadora. Respuesta: El tiempo para la implementación de la ISO 22301 depende del tamaño de la organización, en cualquier caso, puedes usar esta herramienta gratuita para conocer una estimación sobre el tiempo que necesitas para implementar ISO 22301 en tu organización: https://advisera.com/27001academy/es/herramientas/calculador-gratuito-del-tiempo-de-implementacion-para-iso-27001-iso-22301/ Generalmente, el principal reto para la implementación es obtener el apoyo de la dirección, y este webinar gratuito te puede resultar útil: https://advisera.com/27001academy/es/webinar/iso-27001-benefits-how-to-obtain-management-support-free-webinar/ Con respecto a los recursos, puedes implementar este estándar por ti mismo, quiero decir, utilizando recursos propios, pero si compras nuestro paquete de doc umentos, tendrás también nuestro soporte para la implementación. Finalmente, puedes contactar con la entidad certificadora para la certificación en el momento que quieras, aunque habitualmente se suele contactar cuenta la implementación está llegando a su conclusión. Este artículo puede ayudarte a seleccionar la entidad certificadora : https://advisera.com/articles/how-to-choose-an-iso-certification-body/ Y aquí te puedes descargar nuestro paquete de documentos: https://advisera.com/27001academy/es/paquete-de-documentos-sobre-iso-22301/

  • External audit

    What will External auditor be looking out for during ISO 27001 re-crtification audit. Will he be looking at clause 5 to 10 or A.5 to A.18, or both?

  • Management review

    My organisation currently holds ISO 9001 & 27001 and we are hoping to achieve ISO 22301 certification around mid/late spring this year.
Page 337 of 544 pages