¿ISO 27001 permite soluciones de filtro de Spam / Malware basadas en la nube?

No hay nada en ISO27001 que excluya específicamente lo que usted describe.

A un alto nivel, siempre y cuando haya realizado una evaluación de riesgos aplicable al uso del servicio de envío de correos electrónicos y la "salida" sea coherente con sus criterios de aceptación de riesgos, no será incompatible con la norma ISO27001.

Pensando más en áreas de control específicas, como punto de partida hay controles / consejos relevantes en 'Relaciones con proveedores', es probable que otros también tengan relevancia (consulte el estándar y decida según la solución propuesta).

Además, dado que parece estar dentro de la UE, es posible que desee asegurarse de haber cubierto los requisitos de protección de datos en el contrato con el proveedor (Microsoft debería tener cláusulas de contrato estándar que cumplan con los requisitos de protección de datos de la UE).

Si aún no tiene una copia, le recomendaría obtener ISO27002 que proporciona una explicación más detallada sobre los controles en ISO27001.

ISO 27001 no proporciona pautas ni requisitos con respecto a la configuración técnica y la tecnología detrás de sus controles. Por lo tanto, no hay nada en contra de la subcontratación de su protección de filtrado de correo electrónico per se.

Sin embargo, deberá asegurarse de que se aplique el mismo nivel de control a su nueva configuración en comparación con la anterior. Por ejemplo, control de acceso, seguimiento de eventos, etc.

Y como se trata de una subcontratación, también deberá asegurarse de que se cumplan los requisitos de seguridad para este nuevo proveedor (consulte la sección 15 "Relaciones con los proveedores").

Como se indica en las respuestas anteriores, ISO 27001 no presenta ninguna preocupación en términos de solución en la nube / local.

Pero existen servicios en la nube certificados por ISO 27001 que ayudarán a obtener su cumplimiento fácilmente.