Trattamento del database come servizio nel registro delle risorse

0

Ho un database relazionale (DB) ospitato da un provider cloud nel mio registro delle risorse da utilizzare per la certificazione ISO27001. Ciò implica che tutto è gestito dal provider cloud, ad es. networking, patching, ridimensionamento, eccetto cose che vorrei applicare come crittografia, controllo degli accessi, ecc. Ho accesso al DB tramite un'API e lo gestisco solo come servizio.

Quando eseguo la valutazione del rischio su un articolo come questo, elenco tutte le possibili minacce e vulnerabilità legate al DB e dico che sono coperte da SLA o menziono solo quelle di cui sono responsabile?

    
posta Hashed_Then_Encrypted 27.10.2016 - 16:01
fonte

1 risposta

1

Sarebbe utile elencare le minacce e le vulnerabilità correlate al database. In questo modo puoi essere sicuro che sono effettivamente coperti da SLA. Questo potrebbe essere sottoposto a verifica incrociata sotto le relazioni con i fornitori A.15 & A.9 controllo di accesso. Il trattamento del rischio potrebbe essere gestito in base allo SLA, ma tu sei ancora il proprietario del rischio a meno che non sia stato trasferito molto chiaramente (e accettato dal) partner di hosting.

    
risposta data 28.10.2016 - 19:32
fonte

Leggi altre domande sui tag