ISO 27001是否允许基于云的垃圾邮件/恶意软件过滤解决方案？

Question

我们目前正在切换到Exchange 2013，我们正在考虑将垃圾邮件和恶意软件过滤外包给Microsofts在线保护。它通过将我们域的MX记录更改为他们数据中心的地址来实现。

对于我们来说，这将是一个非常实用的，也是相对廉价的解决方案。但我们也在考虑ISO 27001的验证。垃圾邮件和恶意软件过滤的外包是否符合ISO 27001？

Answer 1

ISO27001中没有任何东西会具体排除您所描述的内容。

在较高的水平上，只要您已经进行了一次适用于电子邮件代理服务的风险评估，并且“输出”符合您的风险接受标准，它将不会与ISO27001不兼容。

考虑到具体的控制领域，作为一个起点，在“供应商关系”中有相关的控制/建议，也可能有其他相关的控制/建议(参考标准并根据提议的解决方案作出决定)。

此外，由于您似乎在欧盟内，您可能希望确保在与供应商的合同中包含了数据保护要求(Microsoft应该有符合欧盟数据保护要求的标准合同条款)。

如果您还没有副本，我建议您获得ISO27002，它提供了关于ISO27001中控件的更详细的说明。

Answer 2

ISO 27001没有提供关于控制背后的技术设置和技术的指导方针或要求。因此，没有什么反对外包您的电子邮件过滤保护本身。

但是，您需要确保与以前的设置相比，对新设置的控制级别相同。例如，访问控制，监视事件等。

而且，由于这是一个外包，您还需要确保满足这个新供应商的安全要求(请参阅第15节“供应商关系”)。

Answer 3

如上述答案所示，在云/ on -prem解决方案方面，ISO 27001并不关心.

但是有ISO 27001认证的云服务，这将有助于您轻松地获得遵从性。