Ho un database relazionale (DB) ospitato da un provider cloud nel mio registro delle risorse da utilizzare per la certificazione ISO27001. Ciò implica che tutto è gestito dal provider cloud, ad es. networking, patching, ridimensionamento, eccetto cose che vorrei applicare come crittografia, controllo degli accessi, ecc. Ho accesso al DB tramite un'API e lo gestisco solo come servizio.
Quando eseguo la valutazione del rischio su un articolo come questo, elenco tutte le possibili minacce e vulnerabilità legate al DB e dico che sono coperte da SLA o menziono solo quelle di cui sono responsabile?