ISO27001 Definición del alcance: definición de límites

1

Me gustaría definir el alcance del SGSI para una organización en la que los activos de información se encuentran completamente en la nube y se administran a través de los servicios proporcionados por la nube (incluso el almacenamiento de los datos se proporciona como un servicio resumido, lo que implica que El proveedor es responsable de las redes, el sistema operativo, la configuración del firewall, la seguridad física). Nuestra oficina principal en otra región accede y procesa estos servicios de datos y en la nube para diversos fines.

Entiendo que la responsabilidad básica de nosotros en dicha configuración del proveedor de la nube es proteger los datos en reposo, en tránsito y administrar los controles de acceso. En términos de alcance ISO27001, necesito definir las regiones dentro del alcance. ¿La ubicación del proveedor del centro de la nube estará en el ámbito (asumiendo que todos los servicios utilizados ya están cubiertos por el certificado ISO 27001 del proveedor de la nube) o simplemente se dejan como una excepción y declaran que se trata a través de los SLA? Si queda fuera, la única región en el ámbito es la oficina que accede a estos datos ubicados en la nube.

    
pregunta Hashed_Then_Encrypted 31.07.2016 - 22:43
fuente

1 respuesta

1

La ubicación del proveedor del centro de la nube no estará en su alcance. Los "controlará" a través de A.15 Relaciones con proveedores de la norma. No tendrás control directo sobre su ubicación física. Será tratado como usted dice a través de SLA. La única región en el alcance puede ser la oficina que accede a los datos ubicados en la nube, así como lo que el estándar llama "teletrabajadores", es decir, aquellos que están alejados. Espero que ayude!

    
respondido por el Conor F 03.08.2016 - 21:18
fuente

Lea otras preguntas en las etiquetas