Accordi di livello speciale per ISO27001

0

Supponiamo che nell'ambito dell'ISMS abbia la gestione dei servizi forniti da alcuni provider di cloud, cioè il provider mi fornisce un server virtuale per eseguire determinate operazioni critiche.

Vorrei chiedere che cosa ho bisogno di ottenere come prova della conformità di sicurezza per i seguenti scenari:

a) Il fornitore di servizi cloud è certificato ISO27001. Suppongo di dover solo dimostrare che i servizi pertinenti rientrano nell'ambito del certificato pubblico.
b) Il fornitore di servizi cloud sta seguendo ISO27001 ma NON è certificato: Devo avere uno SLA per fornirmi i risultati dell'audit interno o consentirmi di fare un pentest sul proprio sito?
c) Non segue le best practice ISO27001 (o almeno non lo richiede): Devo avere uno SLA e la loro autorizzazione per eseguire un pentest?

Nel caso in cui il cloud provider non accetti, dico solo che è un rischio accettabile?

    
posta Hashed_Then_Encrypted 16.11.2016 - 20:35
fonte

1 risposta

1

a) è chiaro: se il servizio esternalizzato è lo scopo della certificazione, è possibile scaricarlo.

b) ec) sono gli stessi da una prospettiva ISO pura: non sono certificati e spetta a te garantire che questa parte sia adeguatamente coperta.

In modo appropriato significa che hai valutato il rischio e agito su di esso (accettare, mitigare, assicurare). Il modo in cui lo fai dipende da te (e sarà eventualmente concordato con il revisore), che potrebbe includere la stipula dei risultati dell'audit (uno SLA sarebbe parte del contratto) o la capacità di eseguire il tuo.

    
risposta data 16.11.2016 - 21:10
fonte

Leggi altre domande sui tag