Fornisce una sintetica suddivisione delle responsabilità fra CSC e CSP in termini di contenuti delle informazioni dei CSC, di gestione degli incidenti di sicurezza e di protezione dei dati dei CSC. Prevede un questionario, per controlli generali, suddiviso in 10 “domini”:
1. Personnel security: gestione del personale IT;
2. Supply-chain assurance: definizione di accordi con terze parti;
3. Operational security: tematiche generali sull’infrastruttura IT;
4. Identity and access management: autenticazione e autorizzazione oltre alla cifratura dei dati dei CSC;
5. Asset management: gestione dell’hardware e software da parte del CSP;
6. Data and Services Portability: valutazione del lock-in;
7. Business Continuity Management: recovery anche da disastri e gestione degli
8. Physical security: misure di protezione dell’infrastruttura fisica IT da parte del CSP;
9. Environmental controls: gestione degli ambienti in cui risiede l’infrastruttura IT;
10. Legal requirements: eventuali obblighi di legge del CSC anche sovranazionali.