【第3弾】情報セキュリティ大作戦:ザ・ネクスト3 全5回 【クラウドサービスの稼働確認について】
仁部こんにちは!情報セキュリティ室です。情報セキュリティ大作戦第3弾です!
今回は前回に引き続きクラウドサービスに関するガイドライン改訂の説明記事になります。
クラウドサービスは利用できれば便利ですが、「利用したいときに利用できない」と困りませんか?
先に秋田BPOで行われたTISAX審査では、このポイントについてもご指摘を頂いております。その指摘を受けて、ガイドラインの一部を改版しています。
■改版したガイドライン
03-021 クラウドサービス利用ガイドライン
■変更された内容
6.3 定期監査
6.3.1 サービス提供会社の監査
契約期間中は、サービス運営状況について監視し適切な管理を行う。
また、サービス提供会社の倒産等により業務が停止することを避けるため、サービス提供会社の経営状況の把握にも努める必要がある。
契約期間中は以下の点に留意する。(1) サービス提供者・利用者双方の管理責任者を明確にし、定期的に稼働状況を確認する。
03-021 クラウドサービス利用ガイドライン
また、外部ベンダーより稼働報告を受領している場合には、報告内容を記録する。
赤文字部分が変更されています。
ザックリ何を言っているのか、を説明するとサービス提供者がサービス停止を伴わないよう、提供していることを定期確認するようにしました。という形になります。
これにはいくつかの手法があり、
1. 自分たちがクラウドサービスにアクセスして、使えているのであれば 〇 とする
2. クラウドサービスのステータスページにアクセスし、特に障害情報がなければ、〇 とする
3. クラウドサービスの管理者へ稼働報告書の提示を求め、稼働報告書を保管しておく
大まかに上記3点と考えられます。
定期的な稼働確認、はどの単位(日?週?月?)で実施するのかですが、上記の1であれば、毎日実施、2であれば隔週、3であれば月次、などチームで決定いただいて問題ありません。ただし、1の場合には隔週や月次でやっても意味がない取り組みになってしまうため、毎日実施する必要があります。
チェック用シートのフォーマットは、チーム側で作成いただいて問題ありませんが、
情報セキュリティ室で作成したものもありますので、必要であれば以下よりダウンロードを行ってください。
2023年度版(各種フォーマット) – ISMS管理者サイト|共有情報 – Google ドライブ
ファイル名:【フォーマット】クラウドサービスサービス稼働確認チェックシート.xlsx
ご面倒をおかけしますが、ご協力のほどよろしくお願いいたします。
