Estoy en el proceso de definir la definición del alcance de acuerdo con la norma ISO 27001 para una empresa en el que su proceso empresarial principal se basa en el análisis de datos relacionados con la salud. La infraestructura de TI se basa totalmente en la nube y la empresa tiene una oficina desde la cual los empleados acceden a la infraestructura de TI de la nube y realizan todas sus tareas en la nube.
¿La ubicación del proveedor de la nube se incluirá en la ubicación dentro del alcance del SGSI? En caso afirmativo, ¿qué pruebas necesita mostrar a un acreditador? Tenga en cuenta que solo puede acceder a la nube a través de las API; no tiene acceso a la ubicación física; sin embargo, es responsable de muchos aspectos, como los firewalls - seguridad de datos - controles de acceso etc.