alcance de ISO 27001 para pequeñas empresas que utilizan todos los servicios basados en la nube

Navega tus respuestas
2

Estoy en el proceso de definir la definición del alcance de acuerdo con la norma ISO 27001 para una empresa cuyo proceso empresarial principal se basa en el análisis de datos relacionados con la salud. La infraestructura de TI está totalmente basada en la nube y la empresa no tiene una ubicación física dedicada. Esta es una organización de pequeño tamaño (más de 20 personas), todas trabajan de forma remota al conectarse a la nube.

Dado este escenario, ¿podemos implementar ISO 27001 para mi organización sin una ubicación dedicada? La organización está registrada.

    
pregunta Santhosh 02.03.2018 - 17:15
fuente

2 respuestas

1

Lamentablemente, en este momento no es posible certificar una empresa según ISO 27001 sin una ubicación física en el ámbito @Santhosh.

Si bien @Tom tiene razón al afirmar que no hay nada en la norma ISO 27001 que exija una ubicación física, le será muy difícil encontrar un organismo de certificación que esté dispuesto a aceptar dicho alcance.

Esto se debe a que el documento:

"ISO / IEC 17021-1: 2015 Evaluación de la conformidad: requisitos para organismos que proporcionan auditoría y certificación de sistemas de gestión. Parte 1: Requisitos. "Que está disponible aquí: enlace establece en la cláusula 8.2.2 a) que se requiere una ubicación geográfica para el certificado.

Sin una ubicación geográfica para colocar en el certificado, ningún organismo de certificación que haya podido contactar está dispuesto a certificar el SGSI.

    
respondido por el Joe 13.08.2018 - 07:04
fuente
0

Nada en la ISO 27001 te detiene en esto. Simplemente siga el proceso normal para definir su alcance correctamente. Al implementar los controles del Anexo A, encontrará que en muchos casos en lugar de controles técnicos tendrá acuerdos contractuales con el proveedor de la nube. Eso es absolutamente normal dentro del proceso ISO 27001.

    
respondido por el Tom 21.03.2018 - 13:54
fuente

Lea otras preguntas en las etiquetas

¿Qué decir al administrador de web de un sitio que envía las contraseñas por correo electrónico al registrarse? ¿Peligros en el software de alojamiento en un servidor web?