セキュリティ入門Web講座

IT基盤運用管理 その2

前回から「情報セキュリティ規程には何を書くか?」の第7回の「IT基盤運用管理」のお話をしています。
今回は、前回から引き続き、「IT基盤運用管理」のその2をお話します。

IT基盤運用管理

IT基盤運用管理の内容

IT機器利用クライアント側であるのに対して、この規程はサーバネットワーク機器が中心となっています。

IT機器利用と同じく、原文では、この後に、標準的なソフトウェアや設定などについての項目があります。

広告枠・・・広告やリンク先の保証はしません

IT基盤の運用

運用に関する規定です。
  • ログインパスワードの設定
  • ログの取得や保管期間
  • ログの確認
  • サーバー機器やネットワーク機器用のセキュリティ対策ソフトの利用
  • ネットワーク機器の設定
など、運用する上で必要な設定などを規定します。

クラウドの導入

サーバーをクラウドで利用する場合の規定です。
サーバーを自社で所有するのではなく、クラウドを利用する場合も増えてきました。
しかし、多くの場合、クラウドのサービスによって、機能やセキュリティ対策の対応状況などが異なります。
このため、評価して利用の可否を決定しなければなりません。
利用可否の条件を定められるとよいのですが、クラウドサービスは日々変わっていきます。
実務的には、利用の可否を判断する条件を設けることは難しいのが実情です。
このため、判断する基準の策定と判断する責任者を決めます。

脅威や攻撃に関する情報収集

脅威攻撃は、クライアントに限ったものではありません
サーバー機器やネットワーク機器への攻撃などもあります。
このため、情報収集が欠かせません。
この情報収集についての規定です。
情報を収集し、社内に共有することになりますが、この活動を行う責任者を規定します。

廃棄・返却・譲渡

自治体による廃棄が規定どおりに行われておらず、情報漏洩したという事件がありました。
廃棄だけではなく、レンタル品や取引先や関連会社などからの貸出品の返却やサーバー機器の譲渡などでも、同じように情報漏洩が起こります。
情報漏洩は起こしてはいけないですが、前提となる規定がしっかりと策定されている必要があります。
この規定を定めます。
当然ですが、証明書を取得するなど、規程が実施されているという証拠を得られるような規定にすることが必要です。

タグ:, , , , ,


参考記事(一部広告含む)


このページの記事についてちょっと質問!