Attualmente stiamo passando a Exchange 2013 e stiamo pensando di esternalizzare il filtro antispam e antimalware alla protezione online di Microsoft Exchange. È implementato modificando il record MX del nostro dominio all'indirizzo del loro datacenter.
Questa sarebbe una soluzione molto pratica e anche relativamente economica per noi. Ma stiamo anche pensando a una convalida ISO 27001. L'esternalizzazione del filtraggio di spam e malware è conforme alla norma ISO 27001?
Non c'è nulla in ISO27001 che precluda specificamente ciò che descrivi.
Ad un livello elevato, purché tu abbia condotto una valutazione del rischio applicabile all'uso del servizio di proxy di posta elettronica e l'output sia coerente con i criteri di accettazione del rischio, non sarà incompatibile con ISO27001.
Pensando più a specifiche aree di controllo, come punto di partenza ci sono controlli / consigli rilevanti in "Relazioni con i fornitori", probabilmente ci saranno anche altri che avranno rilevanza (fare riferimento allo standard e decidere in base alla soluzione proposta).
Inoltre, dal momento che ti sembra di essere all'interno dell'UE, potresti voler assicurare di avere coperto i requisiti di protezione dei dati nel contratto con il fornitore (Microsoft dovrebbe avere clausole contrattuali standard conformi ai requisiti di protezione dei dati dell'UE).
Se non si dispone già di una copia, consiglierei di prendere in considerazione ISO27002 che fornisce una spiegazione più dettagliata sui controlli in ISO27001.
ISO 27001 non fornisce linee guida né requisiti relativi all'impostazione tecnica e alla tecnologia che sottende i controlli. Quindi non c'è nulla contro l'outsourcing della protezione del filtro e-mail di per sé.
Tuttavia, è necessario assicurarsi che lo stesso livello di controllo si applichi al nuovo setup rispetto a quello precedente. Ad esempio, controllo degli accessi, monitoraggio degli eventi ecc.
Dato che questo è un outsourcing, dovrai anche assicurarti che i requisiti di sicurezza siano soddisfatti per questo nuovo fornitore (consulta la sezione 15 "Rapporti con i fornitori").
Come indicato sopra le risposte, non ci sono preoccupazioni dalla ISO 27001 in termini di soluzione cloud / on-prem.
Ma ci sono servizi cloud certificati ISO 27001 che aiuteranno a ottenere facilmente la tua conformità.
Leggi altre domande sui tag cloud-computing spam iso27001