健康関連のデータに基づいて顧客にアドバイスを提供する会社のために、ISO27001で要求されているスコープ定義を定義しようとしています。この会社の強みは、顧客に提供するアドバイス(分析手法)です。データはさまざまなサードパーティ(ヘルスアプリ、病院など)からのものであり、すべてがクラウドでホストされ、分析はクラウド上で行われ、データがサーバー上にあるため、セキュリティはクラウドプロバイダーによって(ある程度)保証されます(2〜3の異なる地理的位置にある可能性があります)。
私がそれを定式化することを考えている方法は次のようなものです:データの収集、集約、分析をカバーするISMS。これについて何かアイデアはありますか?
すべての主要なサービス、プロセス、および製品が範囲に含まれている限り、問題はありません。
たとえば、次のようなステートメントも実行します-
ISMSは、顧客データの収集、集約、分析、およびレポートを可能にする情報資産および情報システムの管理、運用、および保守を対象としています。
上記の行は、顧客データを格納するサーバー(クラウド上にある場合でも)を所有/管理していることを前提としています。