нашла на нашей Код ИБ.АКАДЕМИЯ, что выступления, посвященные ISO 27001 делали еще @alexdorofeev и @Ilytchs. Плюс, в информации о себе нашла упоминание про опыт с ISO 2700 у @voldokhin.

Возможно, они смогут дополнительно осветить тему прохождения сертификации по ISO/EIC 27001.  На что стоит обратить внимание и т.д.

Ой, как минимум хоршо знаю двоих, историй оч много подобных. Просто для вас это типа провокация, а для него шутка, спонтанная или заготовленная  идея проверки.

Возможно, этот номер когда то уже был в телеграмме, потом его выдали другому человеку. А аккаунт остался в устройстве.
Terminate all other sessions.

Сказали уже 15 лет с этим номером, пожилой человек...

Ну только убить сессии и проставить в настройках безопасности аккаунта двухфакторную авторизацию. Насчет вайбера не знаю, но по аналогии.

Возможно Денис. Предложенные мной темы в надежде повысить уровень дискуссии  и не перейти во флуд с ваших слова, написанных выше.

Подобные несоответствия практически ни на что не влияют, если мы говорим о сертификационном аудите 27001.
Плохо то, что такие истории искажают смысл аудитов, превращая их в некие проверки.

Именно Илья, а сертифицированном аудите

Золотые слова!

Вы спрашивали, что нужно иметь ввиду при аудите, давайте попробую рассказать, хотя опыт Андрея более релевантный и свежий.) Свежайший даже.
1) Воспринимайте аудитора как партнёра, коллегу. Вы делаете одно дело. Ему ваша компания платит деньги не за то, чтобы он рылся в поисках несоответствий, ему платят за то, чтобы помочь компании стать лучше.
2) Эту позицию крайне желательно донести до всех участвующих в аудите. Люди не должны боятся дать неправильный ответ или сделать что-то не так в беседе с аудитором.
3) Аудит сопровождается ответственным сотрудником с вашей стороны. Он может быть не согласен с мнением аудиторов и указать это в протоколе. Аналогично он подтверждает обнаруженные несоответствия.
4) Один из основных инструментов аудитора - это наблюдение. Т.е. аудитор спрашивает о том, как делаются те или иные действия попросить показать их, фиксировать при этом то, что он замечает вокруг. Ваша история как раз из этой оперы. Акценты только в ней не те.
5) Не стоит бояться несоответствий. На получение сертификата влияют только значительные, а это отдельная история.  Остальные, как правило, попадают в список для следующего аудита.
6) Документы - это очевидная вещь, которая должна быть. Хорошо составленный SoA помогает не только аудиторам, но и вам. То же справедливо и для остальных документов. У Андрея есть много хороших шаблонов плюс бесплатные ресурсы и шаблоны тоже доступны в сети. Недостатка в информации нет.

Ну а так, такие темы не совсем формат чата.)

Илья можете на ваш взгляд написать тезисно 5-7 тем для данного чата.

Что будет полезно и интересно участникам.

Доброго времени суток коллеги. Хотелось бы у вас спросить об использовании внутри ваших организаций своих собственных центров сертификации, например  Майкрософт решения. + и -, с какими трудностями столкнулись? Кто разворачивал и поднимал

Всегда у нас в AD были и использовались. +/- в сравнении с чем? Непонятна истенная суть вопроса.

Хочу внедрить в компании 2FA + шифрование данных на дисках с помощью bitlocker

ИМХО: для этого достаточно локального ЦС. На каждое устройство, которое не в домене придется добавлять сертификат вручную, как-то передать, распространить.

Сложности и тонкости в разворачивании есть, если до этого не делал

Давай в ЛС, чтобы тут не флудить. Я сейчас домой, но завтра готов поговорить. Нужно понимать задачу, как BLoker разворачивать, будут ли смарт карты использоваться, на них сертификаты нужны. Я не скажу, что у меня прям все это в оперативной памяти в голове, надо вспоминать и записи есть. Все это делалось довольно давно. А 2FA была реализована и сейчас остается на DuoMobile, кажется еще никаких Google и Microsoft Authenticator не было. Но сегодня Microsoft Authenticator тоже использую часто.

Хорошо