ISO 27001为使用所有云服务的小公司进行范围界定

Question

我正在根据ISO 27001定义其核心业务流程基于健康相关数据分析的公司的范围定义。IT基础设施完全基于云，公司没有专门的物理位置。这是一个小型组织(20+人员)，所有这些都是通过连接到云来远程工作的。

在这种情况下，我们可以在没有专用位置的情况下为我的组织实现ISO 27001吗？该组织已登记。

Answer 1

不幸的是，如果没有范围@Santhosh中的物理位置，现在就不可能将公司认证为ISO 27001。

虽然@Tom说得对，在ISO 27001标准中没有任何要求物理位置的东西，但是你将很难找到一个愿意接受这样一个范围的认证机构。

这是因为该文件：

ISO/IEC 17021- 1: 2015合格评定.提供管理系统审计和认证的机构的要求.第1部分:要求这可以在这里获得：https://www.iso.org/standard/61651.html在8.2.2a条款中声明证书需要地理位置。

由于没有地理位置可以放在证书上，所以我无法联系的任何认证机构都愿意对is进行认证。

Answer 2

在ISO 27001中没有什么能阻止你这样做。只需按照正常过程正确定义范围即可。在实现附件A控制时，您会发现在许多情况下，您将与云提供商签订合同协议，而不是技术控制。这在ISO 27001过程中是绝对正常的。