STRUMENTO 6 : PROPOSED SECURITY ASSESSMENT AND AUTHORIZATION FOR U.S. GOVERNMENT CLOUD COMPUTING Matrice che individua i principale controlli da effettuare in conformità con le linee guida del NIST. Per ogni area individuata sono generalmente riportati due tipi di controlli: uno a basso impatto ed uno a medio. Le aree individuate sono:
1. Access Control: procedure e politiche per l’accesso ai sistemi indistinto per CSP e CSC;
2. Awareness and Training: politiche di sensibilizzazione alle sicurezza;
3. Audit and Accountability: tracciamento degli accessi e delle attività;
4. Assessment and Authorization: processo per migliorare il livello di sicurezza;
5. Configuration Management: gestione della configurazione dei sistemi;
6. Contingency Planning: processo di business continuity;
7. Identification and Authentication: autenticazione ed autorizzazione anche di dispositivi;
8. Incident Response: gestione degli incidenti;
9. Maintenance: manutenzione dei sistemi e del personale associato;
10. Media Protection: politiche di gestione, mantenimento e trasporto dei dati;
11. Physical and Environment Protection: politiche per la gestione degli accessi e protezione da disastri naturali;
12. Planning: pianificazione generale della sicurezza con attenzione alla privacy;
13. Personnel Security: gestione del personale, anche di terze parti, con attenzione alla cessazione delle prestazioni;
14. Risk Assessment: processi di verifica delle vulnerabilità e gestione;
15. System and Services Acquisition: gestione del ciclo di vita del software;
16. System and Communication Protection: controlli relativi alla sicurezza IT del CSC relativamente al “data at motion”;
17. System and Information Integrity: controlli relativi alla sicurezza IT del CSC relativamente al “data at rest”.