情報資産が完全にクラウド上にあり、クラウドが提供するサービスを通じて管理されている組織のISMSの範囲を定義したいと思います(データの保存も抽象化されたサービスとして提供されます。つまり、プロバイダーが責任を負います。ネットワーク、OS、ファイアウォール構成、物理的セキュリティ用)。これらのデータおよびクラウドが提供するサービスは、別の地域の本社によってさまざまな目的でアクセスおよび処理されます。
このようなクラウドプロバイダーの設定における私たちの基本的な責任は、保存中、転送中のデータを保護し、アクセス制御を管理することであることを理解しています。 ISO27001スコープに関しては、スコープ内の領域を定義する必要があります。クラウドセンタープロバイダーの場所は範囲内になりますか(使用されるすべてのサービスがすでにクラウドプロバイダーのISO 27001証明書でカバーされていると想定)、それとも例外として残され、SLAを介して処理されると述べていますか?省略した場合、スコープ内の唯一の領域は、クラウドにあるこのデータにアクセスするオフィスの領域ですか?
クラウドセンタープロバイダーの場所は、対象範囲に含まれません。標準のA.15サプライヤー関係を通じてそれらを「管理」します。物理的な場所を直接制御することはできません。 SLAを介して言うように扱われます。スコープ内の唯一の地域は、クラウドにあるデータにアクセスするオフィスと、標準で「在宅勤務者」と呼ばれるもの、つまりリモートのオフィスである可能性があります。お役に立てば幸いです。