Me gustaría definir el alcance del SGSI para una organización en la que los activos de información se encuentran completamente en la nube y se administran a través de los servicios proporcionados por la nube (incluso el almacenamiento de los datos se proporciona como un servicio resumido, lo que implica que El proveedor es responsable de las redes, el sistema operativo, la configuración del firewall, la seguridad física). Nuestra oficina principal en otra región accede y procesa estos servicios de datos y en la nube para diversos fines.
Entiendo que la responsabilidad básica de nosotros en dicha configuración del proveedor de la nube es proteger los datos en reposo, en tránsito y administrar los controles de acceso. En términos de alcance ISO27001, necesito definir las regiones dentro del alcance. ¿La ubicación del proveedor del centro de la nube estará en el ámbito (asumiendo que todos los servicios utilizados ya están cubiertos por el certificado ISO 27001 del proveedor de la nube) o simplemente se dejan como una excepción y declaran que se trata a través de los SLA? Si queda fuera, la única región en el ámbito es la oficina que accede a estos datos ubicados en la nube.