Ambito ISO 27001 per piccole aziende che utilizzano tutti i servizi basati su cloud

2

Sono in procinto di definire la definizione dell'ambito secondo ISO 27001 per una società il cui processo di core business si basa sull'analisi dei dati relativi alla salute. L'infrastruttura IT è interamente basata sul cloud e l'azienda non ha una sede fisica dedicata. Questa è un'organizzazione di piccole dimensioni (più di 20 persone) che lavora in remoto collegandosi al cloud.

Dato questo scenario, possiamo implementare ISO 27001 per la mia organizzazione senza una posizione dedicata? L'organizzazione è registrata.

    
posta Santhosh 02.03.2018 - 17:15
fonte

2 risposte

1

Sfortunatamente, non è possibile in questo momento certificare un'azienda con ISO 27001 senza una posizione fisica in ambito @Santhosh.

Mentre @Tom ha ragione affermando che non vi è nulla nello standard ISO 27001 che impone una posizione fisica, sarà davvero difficile trovare un ente di certificazione disposto ad accettare tale ambito.

Questo perché il documento:

"ISO / IEC 17021-1: 2015 Valutazione della conformità - Requisiti per gli organismi che forniscono audit e certificazione dei sistemi di gestione - Parte 1: Requisiti. "Disponibile qui: link afferma nella clausola 8.2.2 a) che per il certificato è richiesta una posizione geografica.

Senza alcuna posizione geografica da inserire nel certificato, nessun organismo di certificazione che ho potuto contattare è disposto a certificare l'ISMS.

    
risposta data 13.08.2018 - 07:04
fonte
0

Nulla nella ISO 27001 ti impedisce di farlo. Segui semplicemente la normale procedura per definire correttamente il tuo ambito. Quando si implementano i controlli dell'Allegato A, in molti casi al posto dei controlli tecnici si avranno accordi contrattuali con il fornitore di servizi cloud. Questo è assolutamente normale nel processo ISO 27001.

    
risposta data 21.03.2018 - 13:54
fonte

Leggi altre domande sui tag