ISO 27001は、クラウドベースのスパム/マルウェアフィルターソリューションを許可しますか?
現在、Exchange 2013に切り替えており、スパムとマルウェアのフィルタリングをMicrosoft Exchange OnlineProtectionにアウトソーシングすることを検討しています。ドメインのMXレコードをデータセンターのアドレスに変更することで実装されます。
これは、私たちにとって非常に実用的で、比較的安価なソリューションです。しかし、ISO27001の検証についても考えています。スパムおよびマルウェアフィルタリングのアウトソーシングはISO27001に準拠していますか?
ISO27001には、あなたが説明することを明確に妨げるものは何もありません。
電子メールプロキシサービスの使用に適用可能なリスク評価を実施し、「出力」がリスク受け入れ基準と一致している場合、高レベルでISO27001と互換性がありません。
特定の管理領域についてさらに考えると、出発点として「サプライヤーとの関係」に関連する管理/アドバイスがあり、関連性のある他の管理領域もある可能性があります(標準を参照し、提案されたソリューションに基づいて決定します)。
また、EU内にいるように見えるため、サプライヤとの契約でデータ保護要件を満たしていることを確認することをお勧めします(Microsoftには、EUデータ保護要件に準拠した標準の契約条項が必要です)。
まだコピーをお持ちでない場合は、ISO27001のコントロールに関するより詳細な説明を提供するISO27002を入手することをお勧めします。
ISO 27001は、制御の背後にある技術的なセットアップとテクノロジーに関するガイドラインや要件を提供していません。したがって、電子メールフィルタリング保護自体をアウトソーシングすることに反対するものは何もありません。
ただし、前のセットアップと同じレベルの制御が新しいセットアップに適用されることを確認する必要があります。例:アクセス制御、イベントの監視など.
また、これはアウトソーシングであるため、この新しいプロバイダーのセキュリティ要件が満たされていることも確認する必要があります(セクション15「サプライヤーとの関係」を参照)。
上記の回答に示されているように、クラウド/オンプレミスソリューションに関してISO27001からの懸念はありません。
ただし、コンプライアンスを簡単に実現するのに役立つISO27001認定のクラウドサービスがあります。