Tengo una base de datos relacional (DB) alojada por un proveedor en la nube en mi registro de activos para ser utilizada para la certificación ISO27001. Esto implica que todo lo mantiene el proveedor en la nube, por ejemplo. redes, parches, escalas, excepto las cosas que me gustaría aplicar, como el cifrado, los controles de acceso, etc. Tengo acceso a la base de datos a través de una API y la manejo solo como un servicio.
Cuando realizo una evaluación de riesgos en un elemento como este, ¿enumero todas las posibles amenazas y vulnerabilidades relacionadas con la base de datos y digo que están cubiertas por el SLA o simplemente menciono aquellas de las que tengo la responsabilidad?