Kaj revizorji ISO 27001 preverijo pri ponudnikih
ISO 27001 je standard za sisteme upravljanja varnosti informacij. Kadar podjetje oceni ponudnike, revizorji preverijo tri ključne kontrolne vrste:
Kontrola dostopa: Ali ima ponudnik tehnične zmožnosti za omejevanje dostopa osebja do podatkov strank?
Šifriranje: Ali so podatki šifrirani med prenosom in mirovanjem?
Monitoring: Ali ima ponudnik zmožnost zaznati in odzivati se na varnostne incidente?
Za večino ponudnikov oblaka je odgovor: "Imamo politike, imamo usposabljanje, imamo incident response plan."
Za ponudnike z arhitekturo ničelnega znanja je odgovor bolj: "Tehnično ne moramo, ker fizično ne moremo dostopati do podatkov strank."