Supponiamo che nell'ambito dell'ISMS abbia la gestione dei servizi forniti da alcuni provider di cloud, cioè il provider mi fornisce un server virtuale per eseguire determinate operazioni critiche.
Vorrei chiedere che cosa ho bisogno di ottenere come prova della conformità di sicurezza per i seguenti scenari:
a) Il fornitore di servizi cloud è certificato ISO27001. Suppongo di dover solo dimostrare che i servizi pertinenti rientrano nell'ambito del certificato pubblico.
b) Il fornitore di servizi cloud sta seguendo ISO27001 ma NON è certificato: Devo avere uno SLA per fornirmi i risultati dell'audit interno o consentirmi di fare un pentest sul proprio sito?
c) Non segue le best practice ISO27001 (o almeno non lo richiede): Devo avere uno SLA e la loro autorizzazione per eseguire un pentest?
Nel caso in cui il cloud provider non accetti, dico solo che è un rischio accettabile?