Organisaation on määriteltävä (tarkempien toimittajavastuita, -häiriöitä sekä pilvipalveluiden hankintaa koskevien käytäntöjen lisäksi), millä yleisillä periaatteilla se aikoo hallita pilvipalveluiden käyttöön liittyviä tietoturvariskejä.

Määritelmissä on otettava huomioon mm.:

• kuinka palveluntarjoajan mahdollistamia tietoturvaominaisuuksia hyödynnetään
• kuinka vaatia todisteita palveluntarjoajan toteuttamista toimenpiteistä tietoturvan eteen
• mitä tekijöitä on huomioitava omissa toimintatavoissa kun hyödynnetään isoa palveluntarjoaja määrää
• pilvipalveluiden käytön huomiointi tietoturvariskien hallinnassa
• toimintatavat pilvipalvelun käytön päättämishetkellä

Aina hankittaessa uusia tietojärjestelmiä noudatetaan ennalta määriteltyä hankintaprosessia ja -sääntöjä. Sääntöjen avulla varmistetaan, että toimittaja pystyy takaamaan riittävän turvallisuustason järjestelmän tärkeys huomioiden.

Pilvipalveluita hyödyntäessä tai tarjottaessa turvallisuusvastuita voi olla sekä palveluntarjoajalla että asiakkaalla. Palveluntarjoaja voi vastata teknisestä kyberturvallisuudesta, mutta esim. asiakas pääsynhallinnasta ja turvallisen käytön ohjeistamisesta.

Vastuut jaetuista tietoturvarooleista tarjottavia pilvipalveluita ja pilvipohjaisten tietojärjestelmien hyödyntämistä kohtaan on määriteltävä ja dokumentoitava selkeästi sekä pilvipalvelun asiakkaan että palveluntarjoajan toimesta.

Organisaation on määriteltävä toimintatavat, joita noudattaen tiedotetaan toimitusketjun tietoturvaloukkauksista. Prosessin on huomioitava kaikenlaiset omat roolit toimitusketjussa, olimmepa itse lopputuotteen tilaaja tai yksi ketjuun kuuluva toimittaja.

Toimintatapojen on huomioitava kumppanien sekä asiakkaiden kanssa tehdyt sopimukset ja niihin sisältyvät sitoumukset molempien osapuolten velvollisuuksista loukkauksien ilmoittamiseen liittyen.

Pilvipalvelun tarjoajan ja organisaation välisen sopimuksen tulee sisältää vaatimukset organisaation tietojen suojaamisesta ja palvelujen saatavuudesta mm. seuraavilla tavoilla:

• ratkaisun tarjoaminen alalla yleisesti hyväksyttyihin arkkitehtuuri- ja infrastruktuuristandardeihin perustuen
• käyttöoikeuksien hallinta organisaation vaatimusten täyttämiseksi
• haittaohjelmien valvonta- ja suojaratkaisujen toteuttaminen
• organisaation arkaluonteisten tietojen käsittely ja säilytys hyväksytyissä sijainneissa (esim. tietty maa tai lainsäädäntöalue)
• tuen tarjoaminen tietoturvahäiriön sattuessa
• organisaation tietoturvavaatimusten täyttymisen varmistaminen myös alihankintaketjuissa
• tuen tarjoaminen digitaalisten todisteiden keräämisessä
• riittävän tuen tarjoaminen, kun organisaatio haluaa päättää palvelun käytön
• vaadittu varmuuskopiointi ja varmuuskopioiden turvallinen hallinta soveltuvin osin
• organisaation omistamien tietojen (mahdollisesti esim. lähdekoodin, palveluun täytetyn / muodostuneen datan) palauttaminen pyydettäessä tai palvelun päättyessä
• ilmoitusvaatimukset merkittäviin muutoksiin (kuten infrastruktuuriin, tärkeisiin ominaisuuksiin, tiedon sijaintiin tai alihankkijoiden käyttöön) liittyen

Kun organisaatio käyttää pilvipohjaista tietojärjestelmää, organisaation tulee ymmärtää ja vahvistaa siihen liittyvät tietoturvaroolit ja -vastuut palvelusopimuksen mukaisesti.

Näihin voi kuulua esimerkiksi seuraaviin vastuisiin liittyviä tehtäviä:

• Suojaus haittaohjelmilta
• Kryptografiset ohjaimet
• Varmuuskopiointi
• Haavoittuvuuden ja tapausten hallinta
• Vaatimustenmukaisuus ja turvallisuustestaus
• Tunnistus, identiteetin ja käyttöoikeuksien hallinta