Fornisce una sintetica suddivisione delle responsabilità fra CSC e CSP in termini di contenuti delle informazioni dei CSC, di gestione degli incidenti di sicurezza e di protezione dei dati dei CSC. Prevede un questionario, per controlli generali, suddiviso in 10 “domini”:

1. Personnel security: gestione del personale IT;

2. Supply-chain assurance: definizione di accordi con terze parti;

3. Operational security: tematiche generali sull’infrastruttura IT;

4. Identity and access management: autenticazione e autorizzazione oltre alla cifratura dei dati dei CSC;

5. Asset management: gestione dell’hardware e software da parte del CSP;

6. Data and Services Portability: valutazione del lock-in;

7. Business Continuity Management: recovery anche da disastri e gestione degli  

8. Physical security: misure di protezione dell’infrastruttura fisica IT da parte del CSP;

9. Environmental controls: gestione degli ambienti in cui risiede l’infrastruttura IT;

10. Legal requirements: eventuali obblighi di legge del CSC anche sovranazionali.