ISO27001范围界定:定义边界
ISO27001范围界定:定义边界
提问于 2016-07-31 20:43:02
我想为一个信息资产完全处于云端并通过云提供的服务进行管理的组织定义ISMS的范围(甚至存储数据是作为一个抽象的服务提供的,这意味着提供商负责网络、操作系统、防火墙配置和物理安全)。这些数据和云提供的服务由我们在另一个地区的主要办事处为各种目的访问和处理。
我理解,在这样的云提供商设置中,我们的基本责任是在休息、传输和管理访问控制时保护数据。就ISO27001范围而言,我需要定义范围内的区域。云中心提供商的位置将在范围内(假设云提供商的ISO 27001证书已经覆盖了所有所使用的服务),还是只作为一个例外离开,并声明通过SLA来对待它?如果将其排除在外,范围内唯一的区域是访问位于云中的数据的office?
回答 1
Security用户
发布于 2016-08-03 19:18:19
云中心提供商的位置不会在您的范围内。你将“控制”他们通过A.15供应商关系的标准。你将不能直接控制他们的物理位置。正如你所说的,它将通过SLA被处理。范围内唯一的区域很可能是访问云中数据的办公室,以及标准所说的“远程工作者”,即那些远程工作人员。希望这能帮上忙!
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/131559
复制相关文章
相似问题
腾讯云开发者
