セキュリティ入門Web講座

広告枠・・・広告やリンク先の保証はしません


IT基盤運用管理 その1

12回前から「情報セキュリティ規程には何を書くか?」の各項目のお話をしています。
今回からお話する第7回の「IT基盤運用管理」は、サーバー機器やネットワーク機器が利用する部分の規定です。
現在のビジネス環境を考えると、社内でザーバーの管理はしていないとしても、ネットワーク機器は必ず存在します。
IT機器利用と合わせて、セキュリティ関連規程で重要視される規程です。

情報セキュリティ関連規程

目次

情報セキュリティ関連規程」には、次の項目があります。

  1. 組織的対策
  2. 人的対策
  3. 情報資産管理
  4. アクセス制御及び認証
  5. 物理的対策
  6. IT機器利用
  7. IT基盤運用管理
  8. システム開発及び保守
  9. 委託管理
  10. 情報セキュリティインシデント対応及び事業継続管理

IT基盤運用管理

広告枠・・・広告やリンク先の保証はしません

IT基盤運用管理の内容

IT機器利用クライアント側であるのに対して、この規程はサーバネットワーク機器が中心となっています。

IT機器利用と同じく、原文では、この後に、標準的なソフトウェアや設定などについての項目があります。

管理体制

責任者を明記します。
組織的対策で責任者の役職名を決定しているので、それを転記することになります。

IT基盤の情報セキュリティ対策

IT基盤の情報セキュリティ対策としては、次の3項目を検討します。
  1. サーバー機器の情報セキュリティ要件
  2. サーバー機器に導入するソフトウェア
  3. ネットワーク機器の情報セキュリティ要件

サーバー機器の情報セキュリティ要件

サーバー機器の情報セキュリティ要件を決定する責任者を決めます。
機器が増加することにより情報セキュリティ要件を追加したり、機器の更新により情報セキュリティ要件を変更する場合があるため、責任者は決定する必要があります。
その他、既存のサーバー機器の情報セキュリティ要件を定める必要があります。

サーバー機器に導入するソフトウェア

現在、サーバー機器に導入されているソフトウェアを調べて規定します。
調べた結果がひとつ前の「サーバー機器の情報セキュリティ要件」に該当するかどうかを判断をすることになります。
規程作成とは離れますが、実務的には、判断結果により、ソフトウェアのジョンアップやサーバー機器の更新を行います。
また、サーバー機器に導入するソフトウェアをユーザである企業が選定できる場合、その選定されたソフトウェアとそのバージョンなどを規定します。

ネットワーク機器の情報セキュリティ要件

ネットワーク機器の情報セキュリティ要件を決定する責任者を決めます。
サーバー機器同様、増加や更新などがあるためです。 その他、既存のネットワーク機器の情報セキュリティ要件を定める必要があることも同様です。

次回は、残りの「IT基盤の運用」「クラウドの導入」「脅威や攻撃に関する情報収集」「廃棄・返却・譲渡」のお話をします。

タグ:, , , ,


参考記事(一部広告含む)


このページの記事についてちょっと質問!