ISO27001: Definición del alcance de los datos alojados en la nube

Navega tus respuestas
1

Estoy tratando de definir una definición de alcance, como lo exige ISO27001, para una empresa que ofrece asesoramiento a los clientes en base a datos relacionados con la salud. La fortaleza de esta empresa es el asesoramiento que ofrece a los clientes (técnicas analíticas). Los datos provienen de diferentes terceros (p. Ej., Aplicaciones de salud, hospitales) y todo está alojado en la nube, el análisis está en la nube y la seguridad está garantizada por el proveedor de la nube (en cierta medida), ya que los datos se ubican en sus servidores. (podría estar en 2-3 ubicaciones geográficas diferentes).

La forma en que pienso formularlo es como: SGSI que cubre la recopilación, agregaciones y análisis de datos. ¿Alguna idea sobre esto?

    
pregunta Hashed_Then_Encrypted 28.07.2016 - 07:53
fuente

1 respuesta

1

Mientras todos los servicios, procesos y productos clave estén cubiertos en el alcance, debería estar bien.

Por ejemplo, una declaración como la siguiente también haría -

ISMS cubre la administración, operación y mantenimiento de activos de información y sistemas de información que permiten la recopilación, agregación, análisis y reporte de datos de clientes.

La línea anterior asume que usted es propietario / administra los servidores (incluso si están en la nube) que almacenan los datos del cliente.

    
respondido por el M S Sripati 28.07.2016 - 08:14
fuente

Lea otras preguntas en las etiquetas

¿Riesgos de las claves de cifrado contenidas en un volcado de memoria después de un bloqueo? ¿Se pueden usar las huellas dactilares leídas del escáner por una parte maliciosa para incriminarlas?