자율제도로 하는 것이 좋을 수 있으나 그에 따른 기업에 책임 부과가 무거워 질 수도있습니다
기업의 보호조치에 대한 판단을 통해 감경의 요소는 됩니다
서비스의 성장성 및 확장성을 많이 요구한다면 클라우드를 기반으로 설계하시는 것을 고려하시는 것이 낫겠지요
인프라의 큰 변화이기때문에 그 다음년도에 최초심사로 다시 진행 됩니다 *인프라의 큰변화는 IDC를 교체해도 발생되는 문제입니다 그래서 최초심사로 진행되지요
ISMS인증심사는 문서와 절차대로 행위가 이루어지고 있는지 현장실사도 병행해서진행 되기 때문에 심사시 그런부분이 결함으로 도출됩니다
ISMS의 사상은 빌려쓰는 모델이어도 그것을 사용하는 고객의 관리 포인트 범위까지는 포함 되는 갓이 맞을듯 합니다 따라서 이왕이면 같이하는 협력보안 모델을 고려하시는 것이 좋은 방법인갓 같습니다(제공자의 서비스 형태보다는 어느 수준까지 우리와 같이 할수 있는지가 더 중요한듯합니다)
사내 정보보안 업무 스콥을 명확히 하셔서 R&R 별 보안 활동을 정의하시고 그에 맞는 인원 구성을 하셔야 될 것으로 보입니다 기업별 서비스, 업무환경이 다르므로 몇명이 필요하다 딱 잘라 말 하기는 약간 무리인듯 하네요
인증범위 선정과 범위내 자산식별이 우선적으로 선행 되셔야 합니다 비용절감은 논외 사항인것 같습니다