This is an HTML version of an attachment to the Freedom of Information request 'Information Governance & Privacy by Design'.

Completion of this tab is not required if you are not processing using an electronic system
Suppliers of systems to the CCG that utilise cloud based computing resources are requested to provide their approach to the following areas of information / cyber security.  
This section is to be completed by the supplier
No
Question
Response
IT Security Notes
Al  of the usual information security concerns stil  exist; simply in a cloud 
1
context instead[1].  What security standards are you certified against?  
What policies do you employ?
Using cloud brings the norm of a shared responsibility model, dependent 
on the service model[2]. For SaaS, the cloud provider (CP) is responsible 
for al  aspects of security, except application user entitlements. With PaaS, 
2
the CP is responsible for the platform component security, the cloud 
consumer (CC) for everything they implement on those platforms. For 
IaaS, the CP has foundational security responsibility; CC everything else. 
How do you reflect this approach?
Information system development lifecycle stages apply: solution / cloud 
requirements; selection of a cloud provider (ref. C-Star registry); definition 
3
of cloud architecture; assessment of security controls3; design of controls 
for security gaps; management of changes. How to do you employ these 
management processes?
Al  major cloud technology providers wil  have certifications and 
attestations for the security of their operation (e.g. ISO27001). Although 
4
compliance inheritance applies, the cloud is only one component and the 
security of the solution as a whole wil  stil  need to be assessed.  What 
practices do you implement separate to the cloud provider’s processes?
Governance and enterprise risk management considerations: What is your 
governance structure?  What is the outline of your organisation’s 
5
framework? How are information security risks managed? What 
compliance objectives do you need to meet?
Information ‘life-cycle’ aspects (creation, storage, classification, location, 
use, sharing, archiving, destruction) along with the volatility of compute 
6
resources must be defined, with consideration given to the deployment 
model. How are these incorporated into the solution architecture?
Cloud technology specifics need to be assessed for IaaS and PaaS, such 
as management plane access controls, software based infrastructure code 
7
management, network segregation. What is your approach to theses 
technology deployment concerns?
Business continuity, resilience aspects and incident response processes 
8
(including cyber incidents). How are these addressed?
Application security (designed  and built-in defences and vulnerabilities) – 
9
how are these managed? What practices do you use?
User access controls technologies – what is your approach to managing 
10 user accounts, both in the solution and in your business?  
How data encryption technology deployed for both data in transit and at 
11 rest? What encryption is built into the solution? Broadly, how are 
encryption keys managed?
Cloud technology advantages should be leveraged in applications. Lift-and-
12 shift deployments avoided. How does your application reflect this 
principle?
Yes/No
Further info

Do you have Business insurances?
e.g. professional indemnity, employer's liability, public/product liability.
ISO 27001 / ISO 27002
Cyber Essentials 
Do you have any of these: 
Yes/No
Further info
ISO 9001 (Quality Management System)
ISO 29100 (Privacy Framework Standard)
ISO 27017 (Cloud Specific Controls)
ISO 27018 (Personal Data Protection)
ISO 27701 (Privacy Information Management System)
PCI DSS 
G-Cloud Framework
IASME Governance Standard
Cloud Computing Standards
SOC Report
Transaction Monitoring
Any other compliance programme you have that is not listed here, please 
list them in the next column
Have you had a Data protection or cyber security breach within the last 3 
years requiring external reporting 
i.e. to ICO, European Supervisory Authority, NCSC 
International data transfers scheme 
Do you have approriate safeguards to make a restricted transfer of 
personal data outside of the UK/EEA, i.e. Privacy shields, BCR, standard 
contractual clause