すべてのクラウドベースのサービスを使用する中小企業向けのISO 27001スコープ
私は、健康関連データの分析に基づいたコアビジネスプロセスを持つ会社のために、ISO 27001に従ってスコープ定義を定義しているところです。 ITインフラストラクチャは完全にクラウドに基づいており、会社には専用の物理的な場所はありません。これは小規模な組織(20人以上)であり、すべてクラウドに接続することでリモートで作業します。
このシナリオを前提として、専用の場所なしで組織にISO 27001を実装できますか?組織が登録されました。
残念ながら、現在のところ、スコープ@Santhoshに物理的な場所がない場合、会社をISO 27001に認証することはできません。
@Tomは、ISO 27001標準には物理的な場所を義務付けるものは何もないと述べていますが、そのような範囲を受け入れる用意のある認証機関を見つけるのは非常に困難です。
これは、ドキュメントが次の理由によります。
「ISO/IEC 17021-1:2015適合性評価-管理システムの監査と認証を提供する団体の要件-パート1:要件。」これは、ここで入手できます。 https://www.iso.org/standard/61651.html 条項8.2.2にa)証明書には地理的な場所が必要であることを示します。
証明書に配置する地理的な場所がないため、連絡が取れた認証機関がISMSを認証する意思はありません。
ISO 27001には、これを妨げるものはありません。通常のプロセスに従って、スコープを適切に定義してください。附属書Aの統制を実装すると、多くの場合、技術的な統制の代わりに、クラウドプロバイダーと契約を結ぶことになります。これは、ISO 27001プロセスでは完全に正常です。