¿Se deben aceptar las exepciones a los controles establecidos en una organización?

Deben quedar muy claras, para no generar inconvenientes.

Hola Kyb3rbat, no es tanto aceptar las excepciones, es mas justificar la excepción a la aplicación de un control, realizando el requisito de la norma ISO 27001: Matriz SOA que es la declaración de aplicabilidad de controles de seguridad establecidos en el Anexo A de la norma, y que se deben presentar al momento de una auditoria de certificación puesto que la compañía valida que tipo de nivel de efectividad tiene un control y por que se implementa o no, dejando constancia de: -Retención del riesgo -Evitación del riesgo -Transferencia del riesgo

Entiendo que El deber es hacer ver la necesidad de X o Y control para mitigar un Riesgo, pero ya es decisión de la empresa si implementa el control o Asume el Riesgo, ya sea por que la eventualidad de que el Riesgo se materialice es Bajo o el impacto es algo que no afecta en gran medida la triada de la seguridad de la información (Integridad, Disponibilidad, Confidencialidad)

Si, no hay ningún problema. La norma no es algo obligatorio realmente. Más bien son una serie de recomendaciones que se han reunido a lo largo del tiempo para establecer una buena seguridad en las compañías. Grandes empresas tienen sus propios procesos y controles establecidos. Así que sí, si puedes aceptar las excepciones en una organización. Más, dependerá de tu opinión como experto si es la mejor decisión o se puede implementar algo mejor.

Espero te hay servido y aportado valor. Saludos

Si, ten cuenta que es parte de la planificación y solo aplicas lo que sea necesario para la organización.