この記事を読むために必要な時間は約6分(2001文字)です。
IT基盤運用管理 ~ セキュリティ関連規程の記載事項について ~
- 投稿日:2020-12-22
- 最終更新日:2020-12-25
- 表示:529PV
- カテゴリ:セキュリティ関連規程
今回からお話する第7回の「IT基盤運用管理」は、サーバー機器やネットワーク機器が利用する部分の規定です。
現在のビジネス環境を考えると、社内でザーバーの管理はしていないとしても、ネットワーク機器は必ず存在します。
IT機器利用と合わせて、セキュリティ関連規程で重要視される規程です。
目次
情報セキュリティ関連規程
目次
「情報セキュリティ関連規程」には、次の項目があります。IT基盤運用管理
IT基盤運用管理の内容
IT機器利用がクライアント側であるのに対して、この規程はサーバやネットワーク機器が中心となっています。IT機器利用と同じく、原文では、この後に、標準的なソフトウェアや設定などについての項目があります。
管理体制
責任者を明記します。組織的対策で責任者の役職名を決定しているので、それを転記することになります。
IT基盤の情報セキュリティ対策
IT基盤の情報セキュリティ対策としては、次の3項目を検討します。- サーバー機器の情報セキュリティ要件
- サーバー機器に導入するソフトウェア
- ネットワーク機器の情報セキュリティ要件
サーバー機器の情報セキュリティ要件
サーバー機器の情報セキュリティ要件を決定する責任者を決めます。機器が増加することにより情報セキュリティ要件を追加したり、機器の更新により情報セキュリティ要件を変更する場合があるため、責任者は決定する必要があります。
その他、既存のサーバー機器の情報セキュリティ要件を定める必要があります。
サーバー機器に導入するソフトウェア
現在、サーバー機器に導入されているソフトウェアを調べて規定します。調べた結果がひとつ前の「サーバー機器の情報セキュリティ要件」に該当するかどうかを判断をすることになります。
規程作成とは離れますが、実務的には、判断結果により、ソフトウェアのジョンアップやサーバー機器の更新を行います。
また、サーバー機器に導入するソフトウェアをユーザである企業が選定できる場合、その選定されたソフトウェアとそのバージョンなどを規定します。
ネットワーク機器の情報セキュリティ要件
ネットワーク機器の情報セキュリティ要件を決定する責任者を決めます。サーバー機器同様、増加や更新などがあるためです。 その他、既存のネットワーク機器の情報セキュリティ要件を定める必要があることも同様です。
IT基盤の運用
運用に関する規定です。- ログインパスワードの設定
- ログの取得や保管期間
- ログの確認
- サーバー機器やネットワーク機器用のセキュリティ対策ソフトの利用
- ネットワーク機器の設定
クラウドの導入
サーバーをクラウドで利用する場合の規定です。サーバーを自社で所有するのではなく、クラウドを利用する場合も増えてきました。
しかし、多くの場合、クラウドのサービスによって、機能やセキュリティ対策の対応状況などが異なります。
このため、評価して利用の可否を決定しなければなりません。
利用可否の条件を定められるとよいのですが、クラウドサービスは日々変わっていきます。
実務的には、利用の可否を判断する条件を設けることは難しいのが実情です。
このため、判断する基準の策定と判断する責任者を決めます。
脅威や攻撃に関する情報収集
脅威や攻撃は、クライアントに限ったものではありません。サーバー機器やネットワーク機器への攻撃などもあります。
このため、情報収集が欠かせません。
この情報収集についての規定です。
情報を収集し、社内に共有することになりますが、この活動を行う責任者を規定します。
廃棄・返却・譲渡
自治体による廃棄が規定どおりに行われておらず、情報漏洩したという事件がありました。廃棄だけではなく、レンタル品や取引先や関連会社などからの貸出品の返却やサーバー機器の譲渡などでも、同じように情報漏洩が起こります。
情報漏洩は起こしてはいけないですが、前提となる規定がしっかりと策定されている必要があります。
この規定を定めます。
当然ですが、証明書を取得するなど、規程が実施されているという証拠を得られるような規定にすることが必要です。
タグ:セキュリティーパッチ, セキュリティ関連規程, パスワード, ルータ, ログ, 対策ソフト, IT基盤運用管理
| 広告枠・・・広告やリンク先の保証はしません |
|---|
 |
