ISO27001的特殊级别协议

Question

假设在ISMS范围内，我对某些云提供者提供的服务进行了管理，即提供者为我提供了一个执行某些关键操作的虚拟服务器。

我想问一下，在下列情况下，我需要获得什么作为安全遵从性的证据：

( a)云提供商通过ISO27001认证。我想我只需证明有关服务是在公开的证书范围内。

( b)云提供商正在跟踪ISO27001，但还没有得到认证:我需要一个SLA才能提供内部审计结果，还是允许我在他们的站点上进行五级审计？

( c)没有遵循ISO27001的最佳实践(或者至少没有声明)：我是否需要SLA和他们的授权才能执行五级协议？

如果云提供商不接受，我只是说这是一个可以接受的风险吗？

Answer 1

( a)很清楚:如果外包服务是他们认证的范围，那么您可以将其卸载给他们。

( b)和c)从纯ISO的角度来看是相同的:它们没有得到认证，这取决于您是否能确保适当地涵盖这一部分。

恰当地意味着你已经评估了风险并采取了行动(接受、减轻、保险)。如何进行审计取决于您(希望审计师会同意)，这可能包括承包其审计结果的存在( SLA将是合同的一部分)，或履行自己的能力。