Tarjottaessa digipalveluita asiakkaille pilvipalveluna, vastuuta palvelun turvallisesta käytöstä kuuluu sekä palveluntarjoajalle että asiakkaalle. Palveluntarjoaja voi olla esimerkiksi vastuussa palvelun teknisestä tietoturvasta, mutta asiakas vastata puolestaan pääsyn hallinnasta sekä palvelun oikeaoppisen käytön ohjeistamisesta.

Organisaation on määriteltävä, kuinka "Jaetun turvallisuuden mallin" (Shared Security Responsibility Model, SSRM) toteutuminen tarjotuille digipalveluille toteutetaan. Jaetun turvallisuuden malliin liittyvät sisällöt on katselmoitava vähintään vuosittain.

Organisaation on tiedotettava ja opastettava digipalvelua käyttävää asiakasta turvallisuusvastuiden jakautumisesta toimitusketjun eri organisaatioiden välillä.

Tarjottaessa digipalveluita asiakkaille pilvipalveluna, vastuuta palvelun turvallisesta käytöstä kuuluu sekä palveluntarjoajalle että asiakkaalle. Palveluntarjoaja voi olla esimerkiksi vastuussa palvelun teknisestä tietoturvasta, mutta asiakas vastata puolestaan pääsyn hallinnasta sekä palvelun oikeaoppisen käytön ohjeistamisesta.

Organisaation on käytävä jokaisen tarjotun digipalvelun suhteen CSA CCM -hallintakeinot läpi ja dokumentoitava, kenelle vastuu kunkin hallintakeinon toteuttamisesta kohdistuu. Relevantteja vastuuvalintoja ovat:

• palveluntarjoaja täysin vastuussa
• asiakas täysin vastuussa
• palveluntarjoaja ulkoistanut toteutuksen, mutta vastuussa
• jaettu vastuu palveluntarjoajan ja asiakkaan välillä
• jaettu toteutus palveluntarjoajan ja kolmannen osapuolen välillä, mutta palveluntarjoaja vastuussa

Lisäksi palveluntarjoajan on kuvattava vastuuvalinnan perusteella joko:

• kuinka palveluntarjoaja on hallintakeinon toteuttanut
• mikä osa hallintakeinosta on asiakkaan vastuulla
• miksi hallintakeino ei ole soveltuva

Tämän toteuttamiseen kannattaa hyödyntää Digiturvamallin CSA CCM -vaatimustenmukaisuusraporttia (toteutuksen kuvaamiseksi) sekä CSA:n tarjoamaa Consensus Assessments Initiative Questionnaire (CAIQ)-pohjaa.

Organisaation on varmistettava, että se täyttää omassa pilvipalvelujen tarjoamisessa / käytössään ne jaetun turvallisuuden osa-alueet, joista se on kunkin palvelun / järjestelmän suhteen vastuussa.

Organisaation on sisäisissä auditointimenettelyissään sekä sisäisiä auditointeja toteuttaessan huomioitava, että tarjottavien digipalvelujen suhteen auditoinneissa pyritään arvioimaan turvallisuusvastuiden toteutumista koko toimitusketjun näkökulma huomioiden. Auditoinnissa on huomioitava tarvittaessa myös mm. asiakkaalle annetut lupaukset palvelutasoista.

Organisaation on katselmoitava ja varmennettava jaetun turvallisuuden mallin dokumentaatio organisaation hyödyntämille kriittisille tietojärjestelmille. Järjestelmätoimittajan kanssa on käsiteltävä mahdollisesti esille nousevat ongelmat.