Sto tentando di definire una definizione di ambito, come richiesto da ISO27001, per un'azienda che offre consulenza ai clienti in base ai dati relativi alla salute. La forza di questa azienda è il suo consiglio che offre ai clienti (tecniche di analisi). I dati provengono da diverse terze parti (ad esempio app per la salute, ospedali) e tutto è ospitato sul cloud, l'analisi è sul cloud e la sicurezza è garantita dal provider di cloud (in una certa misura) mentre i dati si trovano sui loro server (potrebbe trovarsi su 2-3 diverse posizioni geografiche).
Il modo in cui sto pensando di formularlo è come: ISMS che copre raccolta, aggregazione e analisi dei dati. Qualche idea su questo?