Su pregunta está dirigida a dos temas:
Primero, el uso de 'otro sitio que no tenga un conjunto equitativo de controles de seguridad físicos y lógicos' en el caso de activos dentro del alcance debe documentarse. Esto generalmente se hace en los planes de recuperación / planes de contingencia.
Segundo, usted no le debe nada al auditor. Sin embargo, si tiene un incidente y ve que este incidente hace que rompa las reglas que había certificado (por ejemplo, los servidores tienen que operar en una sala controlada por restricción de acceso físico), entonces tiene una "no conformidad". Las no conformidades son usualmente calificadas como menores o mayores. El número de estas no conformidades planteadas por un auditor decidirá sobre la renovación de su certificación.
Las acciones correctivas son medios para corregir las no conformidades que usted plantea. No hacerlo permitirá que la no conformidad se quede y posiblemente se plantee durante una futura auditoría. La acción correctiva debe abordar esto mediante:
- crear nuevas reglas (por ejemplo: crear un documento para la recuperación que indique que cuando este tipo de incidente ocurre, los servidores pueden operar en un entorno degradado algunas veces),
- modificar las reglas,
- o invertir en más recursos (tener un servidor de respaldo en una sala adecuada con acceso físico).
Si sigue sus reglas y continúa corrigiéndose cuando no se cumple, no debería haber ningún problema con respecto a la certificación. Después de todo, esto es lo que dice ISO27k que tienes que hacer.