関連組織 †情報セキュリティインシデント †設定の注意点 †パスワード †クリアデスク・クリアスクリーン †体制 †責任者 †CISO (Chief Information Security Officer) †CPO (Chief Privacy Officer) †CRO (Chief Risk Officer) †CSO (Chief Security Officer) †DPO (Data Protection Officer) †CSIRT(Computer Security Incident Response Team) †
SOC(Security Operation Center) †
CIA †機密性(Confidentiality) †完全性(Integrity) †可用性(Availability) †SOC †SOC 1/2/3 †SOC 1 †その会社の財務報告に関連する内部統制の評価を行います。情報システムを委託している顧客(ユーザー)が財務諸表監査にあたって内部統制の監査を受けた際に、事業者側の内部統制の情報としてSOC1の報告書を利用することができます。 SOC2 †企業が監査してほしいサービスやシステムを対象に、セキュリティや可用性などの統制を評価します。具体的には「セキュリティ」「可用性」「処理のインテグリティ」「機密保持」「プライバシー」の5つの指標があり、この中から任意の項目について評価を受けます。前掲のとおり、当社の場合、セキュリティと可用性について評価を受けています。 SOC3 †SOC2と評価する規準は変わりませんが、前述のとおり、広く公開することを目的とします。そのためSOC2と比べ報告書は簡潔なものとなります。 Type 1/2 †type1 †ある一日について評価を受けます。 type2 †一定の期間(半年以上)について評価を受けます。 SOC1 Type2 †取得例 †リスク †情報セキュリティリスク †システムリスク・事業継続リスク †サプライチェーンリスク †リーガルリスク †レピュテーションリスク †IT規程 †開発標準 †
内容 †
システム管理規定 †システム運用規定 †変更管理 †アクセス管理 †アカウント †パスワード †バックアップ †外部メモリ †オペレーション †障害対応 †災害対応 †関連サービス †ワンタイムパスワード †パソコンの個体情報 †クラウドリスク評価 †自動ログイン † |