Offentlig sektor er i full gang med å ta i bruk ulike former for skytjenester der dette er hensiktsmessig. Mange spør seg da hvordan gjennomføre risikovurderinger og ivareta kontroll med leverandører i en modell med delt ansvar. Cloud Controls Matrix (CCM) og CAIQ (Consensus Assessments Initiative Questionnaire) er en måte å komme i gang. Likevel kan det være en utfordring å dimensjonere tiltakene innenfor ulike kontrollområder. Det vil nemlig variere fra virksomhet til virksomhet og mellom ulike skyleveranser hvilke kontroller i CCM som er relevante. Det kan derfor være praktisk å støtte seg til myndighetskrav som peker i retning av de viktigste kontrollene.
Cloud Security Alliance Norway har derfor mappet Normens krav til Cloud Controls Matrix (CCM). CSA har utarbeidet en kryssreferanse som viser hvilke kapitler i Normen som omhandler de ulike kontrollområdene i CCM. Kryssreferansen kan bidra til å gi oversikt over hvilke deler av Normen som kan innebære at det må stilles konkrete krav til sikkerhet i en skyleveranse.
Normen versjon 6.0 inneholder et vedlegg med 294 krav med referanser til blant annet ISO27001 og lovhjemler. I dokumentet «Oversikt over Normens krav» har CSA lagt inn referanser til ulike “Control ID” i CCM. Referansene er iht. Cloud Controls Matrix (CCM) versjon 3.0.1 utarbeidet av Cloud Security Alliance (CSA). Angir hvilke ulike kontroller fra CCM som anses relevante for at skybaserte tjenester skal tilfredsstille kravene i Normen. Control ID korresponderer også med CAIQ (Consensus Assessments Initiative Questionnaire v3.1) hvor hver Control ID er brutt ned i ett eller flere spørsmål som kan besvares med ja, nei eller ikke relevant. CCM-rammeverket gjør det enklere for kunder og leverandører å snakke samme språk når sikkerheten i en skyløsning skal vurderes.
Merk at et krav i Normen kan være svært relevant å stille en skyleverandør selv om det ikke finnes noen korresponderende Control ID i CCM. Virksomheten er nødt til å gjøre en selvstendig vurdering av om ulike skyleverandører og skytjenester ivaretar kravene i Normen. Det er også viktig at virksomheten selv vurderer hvilke krav og spørsmål som er relevante å stille til ulike skytjenester og skyleverandører. Enkelte referanser er satt i parentes når kravet ikke kan ivaretas av databehandler. For noen av disse kravene beskriver CCM hvordan virksomheten selv bør følge opp informasjonssikkerheten i en skyleveranse. CCM omhandler ikke bare skyleverandøren, men også skykonsumenten. CCM omhandler også hvordan skyleverandører skal stille krav til sine underleverandører. Hvis kravet i Normen bare delvis dekkes av kravet i CCM, er dette markert med en * bak referansen.
Mappingen mellom CCM og Normen finner du her:
https://ehelse.no/normen/oversikt-over-normens-krav-og-mapping-mellom-iso-og-normen.
Direktoratet for e-helse har også gitt ut en egen veileder i bruk av skytjenester til behandling av helse- og personopplysninger
