Organisaation on määriteltävä (tarkempien toimittajavastuita, -häiriöitä sekä pilvipalveluiden hankintaa koskevien käytäntöjen lisäksi), millä yleisillä periaatteilla se aikoo hallita pilvipalveluiden käyttöön liittyviä tietoturvariskejä.

Määritelmissä on otettava huomioon mm.:

• kuinka palveluntarjoajan mahdollistamia tietoturvaominaisuuksia hyödynnetään
• kuinka vaatia todisteita palveluntarjoajan toteuttamista toimenpiteistä tietoturvan eteen
• mitä tekijöitä on huomioitava omissa toimintatavoissa kun hyödynnetään isoa palveluntarjoaja määrää
• pilvipalveluiden käytön huomiointi tietoturvariskien hallinnassa
• toimintatavat pilvipalvelun käytön päättämishetkellä

Pilvipalveluita hyödyntäessä tai tarjottaessa turvallisuusvastuita voi olla sekä palveluntarjoajalla että asiakkaalla. Palveluntarjoaja voi vastata teknisestä kyberturvallisuudesta, mutta esim. asiakas pääsynhallinnasta ja turvallisen käytön ohjeistamisesta.

Vastuut jaetuista tietoturvarooleista tarjottavia pilvipalveluita ja pilvipohjaisten tietojärjestelmien hyödyntämistä kohtaan on määriteltävä ja dokumentoitava selkeästi sekä pilvipalvelun asiakkaan että palveluntarjoajan toimesta.

Kun organisaatio tarjoaa asiakkailleen pilvipalveluita, tulee palveluntarjoajan ja asiakkaan välisessä sopimuksessa määritellä selkeästi tietoturvan varmistamiseksi toteutetut tekniset ja organisatoriset toimenpiteet.

Sopimuksessa tulee myös mainita, että tietoja ei käsitellä muuhun tarkoitukseen kuin rekisterinpitäjän ohjeiden mukaisesti.

Pilvipalveluita tarjoaessaan palveluntarjoajan tulee olla läpinäkyvä tietoturvatoimenpiteistään sopimuksen solmimisprosessin aikana. Asiakkaan vastuulla on kuitenkin viime kädessä varmistaa, että palveluntarjoajan toteuttamat toimenpiteet täyttävät sen velvoitteet.

Kun organisaatio käyttää pilvipohjaista tietojärjestelmää, organisaation tulee ymmärtää ja vahvistaa siihen liittyvät tietoturvaroolit ja -vastuut palvelusopimuksen mukaisesti.

Näihin voi kuulua esimerkiksi seuraaviin vastuisiin liittyviä tehtäviä:

• Suojaus haittaohjelmilta
• Kryptografiset ohjaimet
• Varmuuskopiointi
• Haavoittuvuuden ja tapausten hallinta
• Vaatimustenmukaisuus ja turvallisuustestaus
• Tunnistus, identiteetin ja käyttöoikeuksien hallinta

Kun organisaatio päättää käyttää toisen pilvipalvelun tarjoajan palveluita omien pilvipalveluidensa tuottamiseen, organisaation on varmistettava, että sen asiakkaiden tietoturvataso säilyy tai ylittyy.

Tämän varmistamiseksi organisaation tulee määritellä tarvittavat turvallisuustavoitteet toimitusketjuun kuuluville alihankkijoille. Näiden tavoitteiden tulisi edellyttää riskienhallinnan suorittamista tavoitteiden saavuttamiseksi.