Vurdering av sikkerhet i skyen

CAIQ (Consensus Assessments Initiative Questionnaire) er et verktøy for vurdering av sikkerhet i skytjenester. Verktøyet er en sjekkliste med ja/nei spørsmål som tar for seg sikkerhet ved sentrale deler av skyteknologi. Skjemaet er for skykunder og leverandører. Kort fortalt er CAIQ:

  • Et verktøy for vurdering av sikkerhet i skytjenester
  • Det bidrar til oversikt og systematikk i en kompleks sikkerhetsverden
  • Basert på organisasjonen Cloud Security Alliance (CSA) sin Cloud Control Matrix (CCM)

CSA (Cloud Security Alliance) står bak CAIQ. Organisasjonen jobber for å etablere og øke oppmerksomheten rundt hvilke metoder som fungerer best for å skape sikre skytjenester. 

Som element i dette arbeidet har CSA utarbeidet sin Cloud Controls Matrix (CCM). Med sine 197 sjekkpunkter innenfor 17 områder gir matrisen et omfattende rammeverk for sikkerhet ved implementering av skytjenester.

Orange Business tilbyr en ferdig CAIQ for våre managed tjenester, til bruk for både skykunder og leverandører.

Last ned CAIQ-sjekklisten (Star level 1) fra CSA sitt nettsted
Les mer: What is CAIQ? på CSA sitt nettsted

CAIQ for helsesektoren

CAIQ er spesielt viktig for helsesektoren fordi den bidrar til å sikre pasientdata, oppfylle regulatoriske krav og bygge tillit mellom helseaktører og skyleverandører.

Her er hvorfor CAIQ har stor betydning for helsesektoren:

Beskyttelse av sensitive pasientdata

  • Helsesektoren håndterer store mengder personidentifiserbar informasjon (PII) og helseinformasjon (PHI) som krever høy grad av sikkerhet.
  • CAIQ hjelper med å kartlegge hvilke sikkerhetskontroller en skyleverandør har, og om de er tilstrekkelige for å beskytte slike data.

Oppfyllelse av regulatoriske krav

  • Helseorganisasjoner må følge strenge lover som GDPR i Europa og helseforskrifter som HL7 og ISO 27799.
  • CAIQ er strukturert rundt Cloud Security Alliance sin Cloud Controls Matrix (CCM), som dekker relevante kontrollområder som datalagring, tilgangsstyring og kryptering.

Transparens og tillit

  • Ved å bruke CAIQ kan helseaktører få innsikt i skyleverandørens sikkerhetsrutiner gjennom standardiserte ja/nei-spørsmål.
  • Dette gir et felles språk for vurdering og sammenligning av leverandører, og styrker tilliten i anskaffelsesprosesser.

Forenkler risikovurdering og anskaffelser

  • CAIQ gir et rammeverk som gjør det enklere å gjennomføre systematiske risikovurderinger ved innkjøp av skytjenester.
  • Direktoratet for forvaltning og økonomistyring (DFØ) anbefaler CAIQ som et verktøy for offentlige anskaffelser innen helse og andre sektorer.

Støtter internasjonal samhandling

  • Helseaktører som samarbeider på tvers av landegrenser kan bruke CAIQ for å sikre at alle parter følger samme sikkerhetsstandarder.
Les om hvordan vi jobber med helsesektoren her