La tua domanda riguarda due argomenti:
In primo luogo, l'uso di "un altro sito che non ha un insieme equo di controlli di sicurezza fisici e logici" nel caso di risorse nell'ambito dell'ambito deve essere documentato. Questo di solito è fatto in piani di recupero / piani di emergenza.
In secondo luogo, non devi nulla all'auditor. Tuttavia, se si verifica un incidente e si vede che questo incidente rende la violazione delle regole che aveva certificato (esempio: i server devono operare in una stanza controllata da restrizioni di accesso fisico), allora si ha una "non conformità". Le non conformità sono generalmente qualificate come minori o maggiori. Il numero di queste non conformità sollevate da un revisore contabile deciderà sul rinnovo della certificazione.
Le azioni correttive sono mezzi per correggere le non conformità che sollevate. In caso contrario, la non conformità rimarrà e potrebbe essere sollevata durante un controllo futuro. L'azione correttiva dovrebbe risolvere questo problema:
- crea nuove regole (esempio: crea un documento per il recupero affermando che quando si verifica questo tipo di incidente, i server possono funzionare in un ambiente degradato per qualche volta),
- modifica le regole,
- o investire in più risorse (avere un server di backup in una stanza adeguata con accesso fisico).
Se segui le tue regole e continui a correggerti in caso di mancata conformità, non ci dovrebbero essere problemi per quanto riguarda la certificazione. Dopotutto, questo è ciò che ISO27k dice che devi fare.