范围定义27001:地点

Question

我正在根据ISO 27001定义公司的范围定义，其核心业务流程是基于对健康相关数据的分析。IT基础设施完全基于云，公司有一个办公室，员工可以从其中访问云IT基础设施，并在云上执行他们的所有任务。

云提供商的位置是否将在ISMS的范围内列出？如果是的话，你需要什么证据才能向认证机构展示，请注意，你只能通过API访问云--你没有任何访问物理位置的权限--然而，你要对防火墙、数据安全、访问控制等许多事情负责。

Answer 1

不是的。除非你可以实际使用它，而且它是你的橱柜/机架。他们很可能已经获得了27001国际标准化组织的认证。如果没有，你可以要求他们这样做。或者至少有审计权。您的范围很可能类似于在提供与健康相关的分析定位办公室@ ABC街时保护客户和企业数据。