ISO27001: definizione della definizione di ambito per dati ospitati su cloud

Naviga le tue risposte
1

Sto tentando di definire una definizione di ambito, come richiesto da ISO27001, per un'azienda che offre consulenza ai clienti in base ai dati relativi alla salute. La forza di questa azienda è il suo consiglio che offre ai clienti (tecniche di analisi). I dati provengono da diverse terze parti (ad esempio app per la salute, ospedali) e tutto è ospitato sul cloud, l'analisi è sul cloud e la sicurezza è garantita dal provider di cloud (in una certa misura) mentre i dati si trovano sui loro server (potrebbe trovarsi su 2-3 diverse posizioni geografiche).

Il modo in cui sto pensando di formularlo è come: ISMS che copre raccolta, aggregazione e analisi dei dati. Qualche idea su questo?

    
posta Hashed_Then_Encrypted 28.07.2016 - 07:53
fonte

1 risposta

1

Se tutti i servizi, i processi e i prodotti chiave sono inclusi nello scopo, dovrebbe essere tutto a posto.

Ad esempio anche una dichiarazione come la seguente:

ISMS copre la gestione, il funzionamento e la manutenzione delle risorse informative e dei sistemi informativi che consentono la raccolta, l'aggregazione, l'analisi e la segnalazione dei dati dei clienti.

La riga precedente presuppone che possiedi / gestisci i server (anche se sono su cloud) che memorizzano i dati del cliente.

    
risposta data 28.07.2016 - 08:14
fonte

Leggi altre domande sui tag

Implicazioni sulla sicurezza dell'utilizzo di un algoritmo per allungare e salare le password prima di utilizzarle? Perché vedo 2FA ma non vedo "due entità separate" con priorità nell'autenticazione del sito web?