AS
а политики которые пишутся "под 27K" практически всегда очень длинные
Size: a a a
2021 August 09
AP
1 страница А4. Я об этом рассказывал на прошлом вебинаре. А длинный это обычно ISMS Framework, это другой тип документа
AP
А если частные политики, то тут как повезёт. Зависит от темы и внутренних требований по оформлению. Я видел документы, где на 15 страницах сути были лишь 1-2, остальное - обязательная обвязка и оформление. Это грустно
AS
а в страницу A4 редко помещается что-то кроме деклараций "за все хорошее против всего плохого" и "вот у нас CISO, его надо слушаться, вот у нас контакты для репорта инцидентов, а вот у нас регламент внедрения новых систем который должен пройти одобрение по секурите"
AP
Четенко)
AS
если у тебя есть пример более осмысленной политики на A4, покажи :)
AP
Показывал на прошлом вебинаре, и делал подборку большую.
AS
кинь уж сюда в качестве завлекалочки :)
AP
Это к Оле;)
М
Там еще партнерка прикручена. если купишь чего в течении месяца, 10 % упадет распространителю)
М
Зато на проверках удобно. А где у вас регламентирована (любая фигня)? а вот-с, кстати по 27К готовили
AP
Да, после 27001 в разы проще и быстрее проходить другие аудиты ИБ и заполнять опросники. В частности, нас проверяли после 27001 по Katakri, который какбы не самый распространённый и известный фреймворк.
AD
Опросники проще и бесплатно заполнить, не тратя 100500 на получение и поддержку 27001
AP
Конечно можно. Рассматривайте сертификацию как внешнее подтверждение вашего уровня зрелости ИБ. И если зрелостей высокая, то вы любые опросники и аудиты будете легко проходить и без формальной сертификации
AD
Никакая сертификация не избавляет от опросников. Сертификация это просто будет один пункт в них: да/нет
AD
Сертификация подтверждает не зрелость, а всего лишь формальное соответствие требованиям к сертификации
AS
сертификация подтверждает скрее интенцию, чем реализацию
"мы слышали что-то про безопасность и решили чутка подсуетиться"
при том плачевном уровне ИБ какой мы привыкли видеть это большой репутационный плюс, "у других и того нету"
"мы слышали что-то про безопасность и решили чутка подсуетиться"
при том плачевном уровне ИБ какой мы привыкли видеть это большой репутационный плюс, "у других и того нету"
AD
"У других и того нету" - тут частенько и обычного внешнего аудита хватит, не то что сертификации
AP
Аудит стоит дороже и требует больше времени, чем бумажка о соответствии 27001 в российских реалиях.