• BS7799 ... 国際的なセキュリティポリシー策定のガイドライン
  • ISMS ... 国内のガイドライン

関連組織

情報セキュリティインシデント

設定の注意点

パスワード

クリアデスク・クリアスクリーン

体制

責任者

CISO (Chief Information Security Officer)

CPO (Chief Privacy Officer)

CRO (Chief Risk Officer)

CSO (Chief Security Officer)

DPO (Data Protection Officer)

CSIRT(Computer Security Incident Response Team)

  • インシデント発生時の「対応」に重点を置いた、インシデントレスポンスを担当するチーム
  • インシデント発生時にその原因を速やかに解析し、影響の範囲を明確にすることで被害の最小化を目指す

SOC(Security Operation Center)

  • CSIRTはインシデントが発生した時の対応に重点が置かれているのに対し、SOCはインシデントの検知に重点が置かれている

CIA

機密性(Confidentiality)

完全性(Integrity)

可用性(Availability)

SOC

SOC 1/2/3

SOC 1

その会社の財務報告に関連する内部統制の評価を行います。情報システムを委託している顧客(ユーザー)が財務諸表監査にあたって内部統制の監査を受けた際に、事業者側の内部統制の情報としてSOC1の報告書を利用することができます。

SOC2

企業が監査してほしいサービスやシステムを対象に、セキュリティや可用性などの統制を評価します。具体的には「セキュリティ」「可用性」「処理のインテグリティ」「機密保持」「プライバシー」の5つの指標があり、この中から任意の項目について評価を受けます。前掲のとおり、当社の場合、セキュリティと可用性について評価を受けています。

SOC3

SOC2と評価する規準は変わりませんが、前述のとおり、広く公開することを目的とします。そのためSOC2と比べ報告書は簡潔なものとなります。

Type 1/2

type1

ある一日について評価を受けます。

type2

一定の期間(半年以上)について評価を受けます。

SOC1 Type2

取得例

リスク

情報セキュリティリスク

システムリスク・事業継続リスク

サプライチェーンリスク

リーガルリスク

レピュテーションリスク

IT規程

開発標準

  • 開発に関する標準的な方法・手続・開発手法についての規程

内容

  • ガイドライン・手順書
  • フレームワーク(ひな型)
  • 支援ツール
  • 設計書テンプレート

システム管理規定

システム運用規定

変更管理

アクセス管理

アカウント

パスワード

バックアップ

外部メモリ

オペレーション

障害対応

災害対応 

関連サービス

ワンタイムパスワード

パソコンの個体情報

クラウドリスク評価

自動ログイン

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2023-01-30 (月) 10:12:20 (449d)