拥有单一员工的企业能获得ISO27001认证吗？

Question

我想投标的合同，其中ISO27001认证是一个要求。我构建了基于云的定制软件。

虽然我非常重视安全--我目前还没有任何正式的程序。我只是试着遵循最佳实践。

这是否可行呢？我假设ISO27001都是关于过程、制衡的--这能应用到一个人身上吗？

Answer 1

简单的回答是，是的，个人可以获得ISO 27001认证。就像老笑话一样，你可以用ISO 27001认证一把椅子.

所有你想知道的细节，你真的需要问一个评审员。

然而，您可能会发现，由于您是个人，获得认证的成本远远大于潜在的好处。编写策略、建立流程、审核这些过程都需要时间和资源，而这些都不会花费在工作或投标中。

但你的评审员会得到你所有相关的细节。

Answer 2

不太可能，会有点奇怪。例如，您需要演示的安全控制之一是职责分离。在您的情况下，您可能推动不安全的软件在生产中，没有人来检查您。你可以通过进行风险评估来规避风险，证明对你的组织来说风险很低，或者你接受了这个风险。

然而，另一项要求是对安全控制的内部审计。一个严肃的评审员不会接受你审核自己的行为。

Answer 3

任何组织(甚至是一家单人商店)都可以在不同的成熟度级别采用ISO 27001/2 (见下文)。而且，任何ISO 27k审核员都可以审核并证明您是否遵守了其中的任何一个成熟度级别，但是，对于ISO 27k的遵守情况，成熟度级别2-5被认为是“审核就绪”。

能力成熟度模型(CMM)级别：

• CMM 0:未执行，不存在安全实践(疏忽)
• CMM 1:非正式、临时的安全实践(疏忽)
• CMM 2:计划和跟踪，重点关注遵从性(与安全性)
• CMM 3:定义良好的实践，重点是安全性
• CMM 4:定量控制，有度量
• CMM 5:不断改进

大多数不受监管的组织都以CMM 3为目标，以确保其组织“处于控制之中”，而CMM 4或5则是“高度控制”的组织。

我相信安全控制框架(见https://www.securecontrolsframework.com/)提供了一些关于采用ISO27k的好建议。我特别喜欢电子表格(隐藏大多数列，除了ISO 27001和27002列)，以及成熟度级别的描述。