1. Informationssicherheit intern aufsetzen

Zunächst die interne Organisationsstruktur des Kunden auf Vordermann bringen sowie Verantwortlichkeiten und Rollen für Informationssicherheit beim Kunen klären. Dies gilt auch für das Informationssicherheits-Management und die Steuerung (Governance) von Informationssicherheit.

2. Kunde bleibt verantwortlich

Die Verantwortung für Informations-Sicherheit insgesamt und für Koordination, Management und Qualitätskontrolle externer Dienstleister verbleibt immer beim Kunden - auch bei extern bezogenen Cloud Services.

3. Risiko-Analyse

Eine detaillierte Risiko-Analyse für die spezifischen Cloud Service, die extern bezogen wird, sowie die zur Debatte stehenden Informationen und Prozesse durchführen. Dies schließt Compliance-Risiken mit ein.