Mange spør seg hvordan gjennomføre risikovurderinger og ivareta kontroll med skyleverandører i en modell med delt ansvar. CSA Norway Chapter har oppdatert mapping av CCM v4 (Cloud Controls Matrix) mot kravene i Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen). Ved å benytte CCM-rammeverket blir det enklere for kunder og leverandører å snakke samme språk når sikkerheten i en skyløsning skal vurderes.
CSA har utarbeidet en kryssreferanse som viser hvilke kapitler i Normen som omhandler de ulike kontrollområdene i CCM versjon 4.0.3. Kryssreferansen gir oversikt over hvilke deler av Normen som kan innebære at det må stilles konkrete krav til sikkerhet i en skyleveranse. Normen versjon 6.0 inneholder et vedlegg med 294 krav med referanser til blant annet ISO27001 og lovhjemler. CSA sin mapping angir hvilke ulike kontroller fra CCM som anses relevante for at skybaserte tjenester skal tilfredsstille kravene i Normen. Control ID korresponderer også med CAIQ (Consensus Assessments Initiative Questionnaire v4.0.2) hvor hver Control ID er brutt ned i ett eller flere spørsmål som kan besvares med ja, nei eller ikke relevant. Flere skyleverandører har publisert sin cloud security self assessment eller attestation og disse kan lastes ned fra CSA sine websider. https://cloudsecurityalliance.org/star/registry/amazon
https://cloudsecurityalliance.org/star/registry/microsoft/
https://cloudsecurityalliance.org/star/registry/google
