Sto definendo la definizione dell'ambito secondo ISO 27001 per un'azienda il cui processo di business principale si basa sull'analisi dei dati relativi alla salute. L'infrastruttura IT è interamente basata sul cloud e l'azienda dispone di un ufficio da cui i dipendenti accedono all'infrastruttura IT del cloud e svolgono tutte le attività sul cloud.
La posizione del provider cloud verrà elencata nel percorso nell'ambito dell'ISMS? In caso affermativo, quali prove è necessario mostrare a un accreditatore, si noti che è possibile accedere al cloud solo tramite le API - non si ha accesso alla posizione fisica - tuttavia si è responsabili di molte cose come i firewall - sicurezza dei dati - controlli di accesso ecc.