This is an HTML version of an attachment to the Freedom of Information request 'Policies'.


 
Cloud Security Principles 
SWBH Supplier Compliance Questionnaire 
Supplier 
Supplier Name: 
 
Name of Person Completing Questionnaire 
 
Contact Details of Person Completing Questionnaire: 
 
Service 
Overview of Service to be Provided 
 
How will the service be provided? 
SaaS 
Yes (Please 
Tick) 
 
PaaS 
Yes (Please 
Tick 
 
IaaS 
Yes (Please Tick   
No (Please 
Tick) 
 
No (Please 
Tick) 
 
No (Please Tick)   
SaaS Deployment Model: 
PaaS Deployment Model: 
IaaS Deployment Model: 
Private  Community  Public  Private  Community  Public  Private  Community  Public 
 
 
 
 
 
 
 
 
 
Is the offering part of a layered service, built on third party IaaS 
or Paas? 
Yes (Please 
Tick) 
 
No (Please Tick)   
If elements of the service are to be provided by a third party, please provide third party names  
and the element of the service they will be providing below: 
 
 
 
Page 1 
 


 
Cloud Security Principles 
SWBH Supplier Compliance Questionnaire 
Protection of Data in Transit 
How is data protected between end user devices and the service? 
 
How is data protected internally within the service? 
 
How is data in transit protected between the service and other services? 
 
Asset Protection and Resilience 
Please state country(ies) in which data is: 
Stored: 
 
Processed: 
 
Managed: 
 
 
 
Page 2 
 


 
Cloud Security Principles 
SWBH Supplier Compliance Questionnaire 
What physical security controls have been implemented to protect against reconfiguration of 
systems, unauthorised access to, or theft of data? 
 
How is data at rest protected? 
 
How will it be ensured that all media holding Sandwell and West Birmingham Hospitals NHS 
Trust’s (SWBH) data has been appropriately sanitised and securely destroyed once it reaches the 
end of its life?  
 
How will it be ensured that other users of the service are prevented from accessing SWBH data in 
the event that cloud resources have been reallocated? 
 
How will it be ensured that all equipment  which may have held SWBH data, credentials or service 
configuration information is appropriately identified at end of life, or prior to recycling? 
 
How will it be ensure that all components containing sensitive personal data are appropriately 
sanitised, removed and securely destroyed? 
 
How will it be ensured that all credentials or accounts specific to redundant equipment are 
revoked to reduce their value to an attacker? 
 
 
 
Page 3 
 


 
Cloud Security Principles 
SWBH Supplier Compliance Questionnaire 
How will physical resilience, system and service availability be maintained? 
 
User Separation 
Please state what other user types share the same service? 
 
How will separation of SWBH’s data and service be achieved? 
 
Governance Arrangements 
Please provide the name and contact details of the person who is responsible for security of the 
cloud service. 
Name: 
 
Contact Details: 
 
Please list policies which cover the information and cyber security arrangements of the service. 
 
 
 
 
 
 
 
 
 
 
 
 
Please provide copies of the above policies. 
Page 4 
 


 
Cloud Security Principles 
SWBH Supplier Compliance Questionnaire 
How are information and cyber security risks reported and managed? 
 
How are legal and regulatory requirements identified and how is compliance ensured? 
 
Operational Security 
Is a record of all information assets (including hardware and software) 
Yes 
 
relating to the provision of the service maintained throughout the period of 
(Please 
their lifetime? 
tick) 
No 
 
(Please 
tick) 
How are proposed changes to the service appropriately managed to ensure that vulnerabilities are 
not inadvertently introduced? 
 
How are new threats, vulnerabilities and exploits identified, assessed and mitigated against? 
 
How are known vulnerabilities managed until appropriate mitigation has been applied?  
 
How quickly are mitigations implemented? 
Critical Patches: 
 
Important Patches: 
 
Other Patches: 
 
What controls are implemented to ensure that suspicious activity is identified analysed and 
addressed? 
 
 
 
Page 5 
 


 
Cloud Security Principles 
SWBH Supplier Compliance Questionnaire 
What incident management processes are in place for the service?  
 
Have pre-defined processes been implemented for common incidents and 
Yes 
 
attacks? 
(Please 
tick) 
No 
 
(Please 
tick) 
What arrangements are in place for SWBH to report incidents relating to the cloud service? 
 
How quickly will SWBH be notified of any incidents of relevance and in what format will they be 
reported? 
 
Secure Development 
How is it ensured that new and evolving threats to the security of the service are identified, 
assessed and improvements made to the service to reduce the risk of those threats being realised? 
 
How is it ensured that service developments are designed and implemented in line with secure 
design, coding, testing and deployment industry best practice  
 
How integrity of the solution maintained throughout development, testing and deployment 
phases? 
 
Page 6 
 


 
Cloud Security Principles 
SWBH Supplier Compliance Questionnaire 
Supply Chain 
Please outline how SWBH data is shared with, or accessible to, third party suppliers and their 
supply chains. 
 
How is it ensured that security requirements are enforced with third party suppliers and 
throughout the whole supply chain, particularly as part of procurement processes? 
 
How are third party security risks managed? 
 
How is third party supplier compliance with security requirements and obligations managed? 
 
How is it ensured that hardware and software used as part of the service provision is genuine and 
has not been tampered with? 
 
 
 
Page 7 
 


 
Cloud Security Principles 
SWBH Supplier Compliance Questionnaire 
Secure User Management 
By what route will management or support requests from SWBH be accepted? (eg, telephone web 
portal, email etc) 
 
What controls are in place to ensure that only authorised individuals from SWBH can initiate 
management or support requests? 
 
How will it be ensured that other users of the service cannot access, modify or affect management 
of the service provided t SWBH? 
 
How will it be ensure that access is provided on a least privilege basis? 
 
 
 
Page 8 
 


 
Cloud Security Principles 
SWBH Supplier Compliance Questionnaire 
Identity and Authentication 
What identity and authentication controls are implemented to ensure that users are only able to 
gain access to authorised service interfaces 
 
What controls are in place to reduce the risk of an attacker connecting to the service via an 
external interface? 
 
Secure Service Administration 
Which of the following administration models are used: 
Dedicated devices on a segregated 
 
Dedicated devices for community 
 
network (Please tick) 
service administration (Please tick) 
Dedicated devices for multiple 
 
Service administration via bastion 
 
community service administration 
hosts (Please tick) 
(Please tick) 
Direct service administration (Please 
 
Other (Please describe below) 
 
tick) 
Other administration model description: 
 
 
 
Page 9 
 


 
Cloud Security Principles 
SWBH Supplier Compliance Questionnaire 
Audit Information for Users 
Please outline the system audit information which will be provided to SWBH to enable us to 
detect, investigate and respond to malicious activity, misuse and incidents? 
 
How regularly will the system audit information be provided to SWBH? 
 
 
Page 10