如何应用软件国际标准ISO/IEC 27001和27018

Question

我们聘请了一些开发公司为我们开发软件，我们同意他们遵循的(国际标准ISO/IEC 27001和27018 )，我想问的是，我怎样才能确定他们是否遵守了标准并应用了所有的安全卷宗？有什么软件可以帮我吗？或者，在我们雇用人员执行此任务之前，是否有需要查找的证书？或者有推荐公司可以完成这个任务吗？

最佳塞勒姆

Answer 1

符合标准，如ISO 27001和27018通常是通过执行审核确认的。提供产品或服务的组织需要接受审计，有些公司可以被雇佣来执行审核和确认遵从性。这些审计的结果通常提供给客户和合作伙伴，作为遵守的证据。如果您雇用的提供产品或服务的公司已经过审计，他们应该能够向您提供信息(或者，如果审计是最近的，那么什么时候可以期待审计结果)。

根据您与提供产品和服务的组织的关系和协议，您还可以执行审核。在某些行业，有一些质量组织的工作人员熟悉各种适用的标准和如何进行审计。如果开发中的组织没有适当的认证或审计结果，那么执行审计可能是必要的，以使您相信他们能够按照必要的标准执行工作。

通常，这类工作是在组织被雇用或签约执行工作之前完成的。作为供应商甄选和管理程序的一部分，将确定任何必要的证书和能力，由供应商提供持有这些证书或具备必要能力的信息。