ISO27001-ben tudok segíteni. Szerintem az ISO jól alkalmazható kis cégeknél is. Most csináltam végig ilyet egy 8 fős cégnél, bár ők tanúsítványért nem mentek. (Svájci pénzügyi csapat, szóval méret ide vagy oda, kellett, hogy fejlődjenek a témában.)
Az ISO keretrendszer alfája és omegája a "management system", tehát elsősorban azt kell demonstrálnia a cégnek, hogy megfelelő metódussal foglalkoznak az információbiztonsággal és ezt integrálták a cég életében. Ez attitűd függvényében lehet egy nagy cégnek is "túl sok", ha nincs meg ez elköteleződés (láttam cégeket elvérezni rajta), de némi energiabefektetéssel kis cég is tudja működtetni. Az ISO keretrendszer (és jó esetben a minősítő auditor is) figyelembe veszi, hogy nem mindenkinek kell minden és nem ugyanazon a szinten kell implementálni mindent.
A SOC2 és az ISO27001 szerintem szignifikánsan különböző. Ha nem tudjátok melyiket szeretnétek, akkor érdemes egy ismerkedő session-t egy-egy szakértővel összehozni. Azok a cégek szokták ezt sikeresen implementálni, akik nem abból az irányból gondolják át, hogy melyik plecsnit mutassák be a megrendelőknek, hanem hogy melyik rendszer az, amelyik hasznos a cég számára.