STRUMENTO 6 : PROPOSED SECURITY ASSESSMENT AND AUTHORIZATION FOR U.S. GOVERNMENT CLOUD COMPUTING Matrice che individua i principale controlli da effettuare in conformità con le linee guida del NIST. Per ogni area individuata sono generalmente riportati due tipi di controlli: uno a basso impatto ed uno a medio. Le aree individuate sono:

1. Access Control: procedure e politiche per l’accesso ai sistemi indistinto per CSP e CSC;

2. Awareness and Training: politiche di sensibilizzazione alle sicurezza;

3. Audit and Accountability: tracciamento degli accessi e delle attività;

4. Assessment and Authorization: processo per migliorare il livello di sicurezza;

5. Configuration Management: gestione della configurazione dei sistemi;

6. Contingency Planning: processo di business continuity;

7. Identification and Authentication: autenticazione ed autorizzazione anche di dispositivi;

8. Incident Response: gestione degli incidenti;

9. Maintenance: manutenzione dei sistemi e del personale associato;

10. Media Protection: politiche di gestione, mantenimento e trasporto dei dati;

11. Physical and Environment Protection: politiche per la gestione degli accessi e protezione da disastri naturali;

12. Planning: pianificazione generale della sicurezza con attenzione alla privacy;

13. Personnel Security: gestione del personale, anche di terze parti, con attenzione alla cessazione delle prestazioni;

14. Risk Assessment: processi di verifica delle vulnerabilità e gestione;

15. System and Services Acquisition: gestione del ciclo di vita del software;

16. System and Communication Protection: controlli relativi alla sicurezza IT del CSC relativamente al “data at motion”;

17. System and Information Integrity: controlli relativi alla sicurezza IT del CSC relativamente al “data at rest”.