Vorrei definire l'ambito dell'ISMS per un'organizzazione in cui le risorse informative sono interamente basate sul cloud e gestite tramite i servizi forniti dal cloud (anche la memorizzazione dei dati viene fornita come servizio astratto, il che implica che il il fornitore è responsabile per il networking, il sistema operativo, la configurazione del firewall, la sicurezza fisica). Questi dati e servizi cloud forniti sono accessibili e trattati per vari scopi dal nostro ufficio principale in un'altra regione.
Comprendo che la responsabilità di base di noi in tali impostazioni del provider cloud è quella di proteggere i dati a riposo, in transito e gestire i controlli di accesso. In termini di ambito ISO27001, ho bisogno di definire le regioni all'interno dell'ambito. La posizione del provider del centro cloud sarà nel campo di applicazione (presupponendo che tutti i servizi utilizzati siano già coperti dal certificato ISO 27001 del provider di servizi cloud) o siano appena stati lasciati come eccezione e affermando che viene gestito tramite SLA? Se viene escluso, l'unica area nell'ambito è quella dell'ufficio che accede a questi dati situati nel cloud?