スローガン クラウドサービス・ソフトウェアの利用に特化したパッケージ! 情報セキュリティを考慮したクラウド利用を支援します! スローガン付きブランドロゴ クラウドサービス ガイドライン策定支援 単色表示用 白ヌキ用 概 要 ※ 黒の四角い背景は白ヌキ状態を示すためのもので、 デザインされたものではありません。 正式社名ロゴタイプ クラウドサービスを業務活用し、利用者として情報セキュリティを確保するため、クラウドサービス利用ガイドラインの策 定をご支援します。 ガイドライン案として、クラウドサービス利用管理規定、申請書類様式、 評価チェックリストのテンプレートをワンパックでご提供します 第1回 セッションを通じて、弊社コンサルタントが貴社状況をレビューし、 テンプレートの修正点を貴社にフィードバックいたします。 第1回 貴社の利用状況のヒアリング 必要に応じドキュメントの閲覧 第2~3回 テンプレートのレビュー 修正内容の検討、案/課題のフィードバック 貴社にてガイドラインの最終修正 ガイドライン テンプレート 第2~3回 貴社 弊社 特 色 当社がご提供するガイドラインテンプレートは、企業の情報セ キュリティ管理に関する当社知見・ノウハウをベースに、クラウド サービス・ソフトウェア(SaaS)に特化し、サービス利用者に必要 な内容をご提供いたします。 クラウドサービスのライフサイクル(調達→利用→解除)にそった 管理手続、申請書、評価チェックリストを整備しており、貴社の 状況に応じてカスタマイズすることが可能です。 クラウド上に業務データを預けるにあたり、ソフトウェアサービスの 利用に係るリスクについて、サービス利用者として実施すべき情 報セキュリティ管理項目を体系的に整理しています。 利用者側の管理範囲が限られていることを前提に、サービス提 供者に求める情報セキュリティ管理項目を「サービスレベル」の 要求事項として整理しています。 クラウドサービス利用管理規定 第1章 総則 第1条 第2条 第3条 第4条 第5条 第6条 第7条 第8条 目的 定義 適用範囲 管理方針 管理体制・役割 契約合意 報告 点検・調査 第2章 利用要領 第9条 調達方針 第10~13条 業務用クラウドの 調達,利用,変更,解除 第14~16条 従業員の 利用開始,変更,解除 第3章 雑則 別紙 ・業務用クラウドサービスに関する情報 セキュリティ管理標準 ・クラウドサービス業務利用登録申請書 ・業務用クラウド 利用者登録申請書 ・サービス提供に係る情報セキュリティ 管理要求(兼チェックリスト) 1.サービスレベルの維持 2.体制・役割・責任範囲 3.提供サービスの管理態勢 4.サービスレベル 5.コミュニケーション ・業務用クラウドサービスチェックリスト 1.管理方針への適合状況 2.調達方針への適合状況 3.サービスレベルの適合状況 4.当社管理の適合状況 第17条 例外措置 第18条 見直し こんなお悩み、課題はありませんか? コミュニケーションツールを中心に、SaaSの導入検討、利用が進み、 業務部門から利用要望、問合せがある中で・・・ ビジネス効果から、業務部門がいくつか導入しているが、クラウドが保有 する当社データについて、考慮がバラバラで、管理規定もなく、状況が 不安・・・ クラウドサービス利用によって、IT管理から解放され、かつ管理レベルも 向上するが、情報セキュリティについて、当社は何を管理できるのか、 管理に必要な手立てがあるのか不明… クラウドに係るガイドラインは入手できるが、要員・スキル不足のため、 社内ルールの整備に手がつかない… 11 クラウド?! 仕事で便利に 使ってるよ 他も使ってるし クラウド使いたい んだけど 業務部門 使うのはいいが、 管理は大丈夫? どう管理すべきか わからない・・・ 社内ルールを 整えられない・・・ 消えぬ悩みの種・・・ 情報セキュリティ 管理部門 http://www.gsx.co.jp 利用シーン ガイドラインを整備し、それを踏まえて必要な環境を準備、運用すると、こんな状況に対応できます。 利用シーンその1 例:営業セールス活動 コンテンツの作成、アップロード 「セールス活動のため、 クラウドストレージを使いたい」と相談された… クラウド ストレージ ガイドラインは、業務情報をクラウドサービスに預けるにあたり、サービスの調達時 に、情報セキュリティ管理状況の評価チェックが可能な管理標準を提供します。 ガイドラインを踏まえ、調達時にクラウドサービス評価を実施することにより、リスク の顕在化につながる状況の管理度合いを明確にし、導入対応を支援します。 インターネット 製品カタログの表示・動画の再生 お客様にその場でわかりやすく説明したい 利用シーンその2 利用要望、問合せ クラウドサービスを利用していて、 マルウェアに感染した… 業務部門 ガイドラインは、事件事故の発生を前提にしており、事案対応の前準備及び対 応時に必要な管理策を提供します。これにより、予防だけでなく、影響の極小 化対応もあわせて支援します。 導入済のクラウドサービスの 情報セキュリティ管理方法がわからない… ガイドラインは、導入済のクラウドサービスの利用、変更、そして利用解除の評 価にも利用できます。評価においては、責任範囲を再確認し、当社及び提供 者それぞれの管理対象を見直します。そして、当社の責任範囲について、当 該サービスの管理に必要な情報や機能を提供者に要求し、当社がすべき情 報セキュリティ管理を可能にするとともに、当社に成り代わり、提供者か実施す べき管理項目の要求出しを支援します。 サービス利用者(当社)の管理 サービス利用管理,要員管理,情 報管理,アクセス管理, バックアッ プ管理,モニタリング,ログ管理, イ ンシデント対応,事業継続管理, 法規制対応 報告,見直し セキュリティ 管理部門 ガイドライン 情報の機密レベルを軸に、管理方針、管理体制及び役割、 利用要領、例外措置、見直し、管理するリスク、リスク管理策等 利用シーンその3 管理方針、 調達方針 体制、役割、 責任範囲 契約、 サービスレベル管理 ガイドラインを踏まえた利用の指示 リスク:業務利用の中断、情報の外部流出、情報やプログラムの改ざん 不正行為 ついうっかり・故障等 マルウェア 事件事故の発生 サービスの脆弱性 当社管理が直接及ばない サービスの機能不全 サービス リスク管理等 当社からのサービス提供者への管理要求 要求 管理に必要な 情報や機能の提供 要求 サービスレベル の維持 体制・役割・ 責任範囲 提供サービスの 管理態勢 サービスレベル(サービス運用管 理,要員管理,情報管理,アクセス 管理, バックアップ管理,モニタリン グ,ログ管理, インシデント対応, 事業継続管理,法規制対応) コミュニケーション(報告) よくあるご質問 Q1 ガイドラインだけあれば管理規則は十 分ですか? Q2 ガイドラインテンプレートは 、汎用化した形で SaaSに特化しています。そのため、貴社クラウ ドサービスの業務利用状況にあわせ、ガイドライ ンを整備するとともに、他規定の整備が必要に なることがあります。なお、他規定の整備に係る ご支援も承ります。(別サービスによるご支援) Q3 他の社内規定との関係はどう配慮 されていますか? クラウドサービスに特化しない、又は貴社での運 用が既に見込まれる内容について、ガイドライン テンプレートは、「別の定め」と置き、他規定との つながりに配慮しています。また、貴社の情報セ キュリティ/業務の体制・役割に、テンプレート の運営管理体制・役割をひもつけて、社内規 定化を可能にします。 スマートデバイスの利用管理も 含まれてますか? Q4 スマートデバイス利用に係る管理内容は含まれ ていません。 なお、クラウドサービスの利用にあたり、スマート デバイスの利用をあわせて検討されることを踏ま え、別メニューとしてスマートデバイス利用ガイド ラインテンプレートを用いた策定支援もご用意し ています。(別サービスによるご支援) クラウド基盤(IaaS)の利用も 含まれていますか? クラウド基盤の調達・利用に係る管理内容は 含まれていません。 ただし、役割責任の明確化、契約やサービスレ ベルによる管理は、適用対象が異なるだけで、 管理の考え方はクラウドサービス共通ですので、 流用可能です。なお、これら整備に係るご個別 支援も承ります。(別サービスによるご支援) 本カタログは、2013年11月時点における内容になります。 12 http://www.gsx.co.jp
© Copyright 2024 ExpyDoc
