Data Security and Privacy Principles

Similar documents
Style Sample for C&N Word Style Sheet

Microsoft PowerPoint - ã…Šã…¬ã…fiㅥㅼ盋_MVISONCloud製åfi†ç´¹ä»‰.pptx

Style Sample for C&N Word Style Sheet

metis ami サービス仕様書

Style Sample for C&N Word Style Sheet

Style Sample for C&N Word Style Sheet

Exam4Docs Get your certification with ease by studying with our valid and latest training material.

Symantec Endpoint Protection 12.1 の管理練習問題 例題 1. 管理外検出でネットワーク上のシステムを識別するとき 次のどのプロトコルが使用されますか a. ICMP b. TCP c. ARP a. UDP 2. ある管理者が Symantec Endpoint P

なぜIDSIPSは必要なのか?(v1.1).ppt

PowerPoint Presentation

McAfee SaaS Protection 統合ガイド Microsoft Office 365 と Exchange Online の保護

PowerPoint プレゼンテーション

SGEC 附属文書 理事会 統合 CoC 管理事業体の要件 目次序文 1 適用範囲 2 定義 3 統合 CoC 管理事業体組織の適格基準 4 統合 CoC 管理事業体で実施される SGEC 文書 4 CoC 認証ガイドライン の要求事項に関わる責任の適用範囲 序文


TPT859057

目次 1.ITの進歩が生み出すクラウドの機会と脅威 2. 現時点でのクラウドへの期待と不安 3. ではどのようにクラウドを利用すればよいか 4. クラウドの今後の行方は? 1

Microsoft Word - ESX_Restore_R15.docx

Oracle Cloud Adapter for Oracle RightNow Cloud Service

Office 365監査ログ連携機能アクティブ化手順書

IBM Rational Software Delivery Platform v7.0 What's

Style Sample for C&N Word Style Sheet

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して 当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令 各省庁のガイドライン及び当法人の関連規程を遵守すると共に これらに違反した場合には厳正に対処すること ( 個人情報保護 )

米国のHIPAA法における 個人情報等の保護に関する規定について

QNAP vsphere Client 用プラグイン : ユーザーガイド 2012 年 12 月更新 QNAP Systems, Inc. All Rights Reserved. 1

OpenLAB Data Store Release Notes

HPE ProLiant Thin Micro TM200 サーバー Microsoft Windows Server インストール手順

目次 はじめに... 3 仮想化環境上の仮想マシン保護方法... 4 ( 参考 )Agent for Virtual Machines での仮想マシンのバックアップ... 8 まとめ 改訂履歴 2011/04 初版リリース 2012/10 第 2 版リリース このドキュメントに含まれる特

KARTE セキュリティホワイトペーパー KARTE セキュリティホワイトペーパー 2.1 版 株式会社プレイド 1

untitled

untitled

Client Management Solutions および Mobile Printing Solutions ユーザガイド

Polycom RealConnect for Microsoft Office 365

スライド 1

Microsoft Word - Per-Site_ActiveX_Controls

Veritas System Recovery 16 Management Solution Readme

Dräger CSE Connect ???_ja

使用する前に

チェックリスト Ver.4.0 回答の 書き方ガイド 国立情報学研究所クラウド支援室

Windows Server 2016 Active Directory環境へのドメイン移行の考え方

untitled

SaaS の採用における課題 73% 80% エンタープライズの 73% が SaaS の採用を妨げる最大の課題の 1 つとしてセキュリティを挙げている * 従業員の 80% 以上が未承認の SaaS アプリを仕事で使用していると認めている ** * Cloud Security Alliance

IBM Presentations: Smart Planet Template

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

Microsoft Word - ESX_Setup_R15.docx

Style Sample for C&N Word Style Sheet

8. 内部監査部門を設置し 当社グループのコンプライアンスの状況 業務の適正性に関する内部監査を実施する 内部監査部門はその結果を 適宜 監査等委員会及び代表取締役社長に報告するものとする 9. 当社グループの財務報告の適正性の確保に向けた内部統制体制を整備 構築する 10. 取締役及び執行役員は

シマンテック テスト用CA認証業務運用規程(テストCPS)日本バックエンド

製品概要

スマートデバイス利用規程 1 趣旨 対象者 対象システム 遵守事項 スマートデバイスのセキュリティ対策 スマートデバイスの使用 スマートデバイスに導入するソフトウェア スマー

システム必要条件 - SAS Add-In 7.1 for Microsoft Office

エ事務部門 (9) 利用者 教職員 学生等及び臨時利用者で 本学情報システムを利用する者をいう (10) 教職員 本学に勤務する常勤又は非常勤の教職員 ( 派遣職員を含む ) をいう (11) 学生等 本学学則に定める学部学生 大学院学生 大学院研究生 科目等履修生及び聴講生 等をいう (12) 臨

コース番号:

マルチクラウド環境の最適解! ネットワンの セキュリティサービス 2018 年 12 月 13 日ネットワンシステムズ株式会社ビジネス推進本部商品企画部セキュリティチーム兼松智也

ログを活用したActive Directoryに対する攻撃の検知と対策

システム必要条件 - SAS Add-In 7.1 for Microsoft Office

ユーザー一覧をファイル出力する ユーザーを検索する 登録したユーザー数を確認する

<4D F736F F D F815B B E96914F92B28DB8955B>

(Veritas\231 System Recovery 16 Monitor Readme)

<93648EA593498B4C985E82C98AD682B782E E838A F E315F C668DDA95AA292E786C7378>

上場会社監査事務所登録制度に係る規定要綱案

Oracle Enterprise Linux 5における認証

McAfee Public Cloud Server Security Suiteデータシート

借上くんマイナンバー制度対応

How to Use the PowerPoint Template

Microsoft Word - SANS_ASPL-J.doc

— intra-martで運用する場合のセキュリティの考え方    

IBM Software Business Analytics IBM SPSS Missing Values IBM SPSS Missing Values 空白を埋める際の適切なモデルを構築 ハイライト データをさまざまな角度から容易に検証する 欠損データの問題を素早く診断する 欠損値を推定値に

FISC 安全対策基準対応ガイド 設 1 設 2 設 3 設 4 FISC 安全対策基準一覧項番 設備 Google の回答 Google は ISO27001 認証を受けています この基準では 物理的および環境的セキュリティ (ISO 附属書 A.11) が規定されています シ

FUJITSU Cloud Service for OSS 「ログ監査サービス」 ご紹介資料

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

Microsoft Word - JIS_Q_27002_.\...doc

2017 年 6 月 14 日 スムーズな API 連携でデジタルビジネスを推進する API Gateway as a Service の提供を開始 ~ 外部との API 接続を容易にし xtech ビジネス連携を加速 ~ NTT コミュニケーションズ ( 以下 NTT Com) は 複数のシステム

CP100 SAP Cloud Platform. コース概要 コースバージョン : 04 コース期間 :

IBM 次世代クラウド・プラットフォーム コードネーム “BlueMix”ご紹介

12_モニタリングの実施に関する手順書 

Oracle Access ManagerとOracle Identity Managerの同時配置

GDPR に備える EUの一般データ保護規則 (General Data Protection Regulation GDPR) は 欧州議会と理事会で承認され 2018 年 5 月 25 日から施行されます GDPRは データ保護のための極めて厳しい基準を定めており EU 住民の個人データを処理す

最初に 情報セキュリティは中小企業にこそ必要!! 機密性は 情報資産へのアクセスを最小限度に留めることで 購入する情報資産の金額を最小にします 完全性は 情報資産が正確 正しく動くことを保証し 業務を効率化します 可用性は 欲しい情報を欲しい時に入手できることで 業務時間を短縮します Copyrig

Microsoft PowerPoint - 入門編:IPSとIDS、FW、AVの違い(v1.1).ppt

proventia_site_protector_sp8_sysreq

日本企業のCSIRT実例紹介

McAfee Embedded Control データシート

システム必要条件 - SAS Add-In 8 for Microsoft Office

目次 4. 組織 4.1 組織及びその状況の理解 利害関係者のニーズ 適用範囲 環境活動の仕組み 3 5. リーダーシップ 5.1 経営者の責務 環境方針 役割 責任及び権限 5 6. 計画 6.1 リスクへの取り組み 環境目標

グループ一覧を並び替える すべてのユーザー グループの並び順を変更する ユーザーの登録

VERITAS Backup Exec for Windows Servers Management Pack for Microsoft Operations Manager ガイド

HULFT-WebConnectサービス仕様書

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

MSSGuideline ver. 1.0

KSforWindowsServerのご紹介

本日のメニュー 1. 弊社紹介 2. セキュリティチェックシートについて 3. GigaCCで出来る事 4. まとめ -2-

Style Sample for C&N Word Style Sheet

CIS とは何者か Center for Internet Security, Inc. (CIS) は 公共および民間セクター機関のサ イバーセキュリティ態勢や対応の強化に取り組む非営利団体です CIS ベンチマークの成り立ち CIS ベンチマークは当該分野の専門家で構成されたコンセンサスレビュー

リージャスグループの個人情報保護方針

はじめに 個人情報保護法への対策を支援いたします!! 2005 年 4 月 個人情報保護法 全面施行致しました 個人情報が漏洩した場合の管理 責任について民事での損害賠償請求や行政処分などのリスクを追う可能性がござい ます 個人情報を取り扱う企業は いち早く法律への対応が必要になります コラボレーシ

Microsoft Word - Android認証設定手順(EAP-TLS)1105.doc

PowerPoint プレゼンテーション

パソコン決裁7 捺印ツールインストールマニュアル

QMR 会社支給・貸与PC利用管理規程180501

UX100 SAP Fiori - ファンデーション. コース概要 コースバージョン : 02 コース期間 : 3 日

Transcription:

データのセキュリティーおよびプライバシーの原則 IBM クラウド サービス

2 データのセキュリティーおよびプライバシーの原則 : IBM クラウド サービス 目次 2 概要 2 ガバナンス 3 セキュリティー ポリシー 3 アクセス 介入 転送 および分離の管理 3 サービスの完全性および可用性管理 4 アクティビティーのロギングおよび入力管理 4 物理的セキュリティーおよび入場管理 4 指示の管理 4 遵守 4 第三者のサブプロセッサー 概要 IBM のクラウド サービスには インフラストラクチャー プラットフォームおよびソフトウェアの各オファリングが含まれています 各クラウド サービスには そのアーキテクチャー 使用目的 および提供されるサービスの種類に応じた IBM のポリシーに準拠した技術的および組織的なセキュリティーとプライバシーの対策が実装されています 図 1 は 各種サービスの一般的な責任の分担を図示しています IaaS IBM PaaS SaaS IBM 図 1: IBM クラウド サービスのオファリング種別 IBM の Infrastructure as a Service (IaaS) オファリングでは計算リソースが提供されます お客様はそのリソース上でオペレーティング システム ランタイム ミドルウェア および自ら選択したアプリケーションなどのソフトウェアを展開して実行できます IaaS のお客様は お客様が IaaS ソリューション上に展開するアプリケーション コンテンツ ランタイム ミドルウェアおよびオペレーティング システムについて責任を負います これには 物理的ではない データのセキュリティーおよびプライバシーに関する対策の実装ならびに管理が含まれます IBM の Platform as a Service (PaaS) オファリングにより お客様は サービスの一部として含まれる場合があるシステム ネットワーク 記憶装置 ランタイム フレームワーク ライブラリー ならびに統合ツールおよび管理ツールを使用して クラウド アプリケーションの作成 展開 管理ができます PaaS のお客様は 自身が PaaS ソリューション上に展開するアプリケーションおよびコンテンツを管理します これには お客様のアプリケーションおよびデータを対象としたデータのセキュリティーおよびプライバシーに関する対策を実装し 管理することが含まれます IBM の Software as a Service (SaaS) オファリングは 標準化アプリケーションをクラウド環境から提供しますが このクラウド環境のために IBM は アプリケーション ( 基盤となるミドルウェア プラットフォームおよびインフラストラクチャーを含みます ) の展開 管理 実行 保守およびセキュリティーを管理します SaaS のお客様は クラウド サービス契約の条件に従って エンド ユーザーのアカウント IBM SaaS オファリングの適切な使用 および自身が処理するデータの管理を引き続き行います 独自の要件がある場合 SaaS のお客様は IBM が実装している標準的なデータのセキュリティーおよびプライバシーに関する対策の適合性を評価する責任を負います 種類を問わず 各クラウド サービスに対する IBM の詳細な管理責任は 関連するオファリング契約に定められています とりわけ お客様のデータの偶発的な損失 不正アクセス および不正使用などのリスクから IBM クラウド サービスを防御するように設計された データのセキュリティーおよびプライバシーに関する対策 ( 利用できる 構成可能なオプションおよびサービスを含みます ) が 各サービス記述書に定められるか または盛り込まれています この データのセキュリティーおよびプライバシーの原則 文書には 参照により各サービス記述書に組み込まれる IBM の包括的なポリシーおよびプラクティスが記載されています ガバナンス IBM の IT セキュリティー ポリシーは 特別なコーポレート インストラクションを根拠としており IBM の CIO 組織によって制定および管理され IBM

データのセキュリティーおよびプライバシーの原則 : IBM クラウド サービス 3 の事業の不可欠の部分となっています 社内の IT ポリシーを遵守することは必須であり 監査の対象となっています セキュリティー ポリシー IBM の情報セキュリティー ポリシーは 少なくとも年 1 回見直され 最新の脅威に対応し 広く受け入れられた国際標準 (ISO/IEC 27001 および 27002 など ) の更新に合致させるために必要な改良が加えられます IBM は 随時採用する追加の従業員を含む新規採用者全員について 一連の雇用認証必須要件に従います これらの標準は 完全所有子会社および合弁会社にも適用されます この必須要件には 犯罪歴の照合 身元確認の証明 および応募者が以前に政府機関に勤めていた場合はその他の確認が含まれますが これらに限定されません またこれらは変更される場合があります IBM の各法人は 現地の法律に基づいて許容され かつ適用可能な範囲で 適宜 その採用プロセスに上記の要件を組み込む責任を負います IBM の従業員は 毎年セキュリティーとプライバシーに関する教育を修了し IBM の ビジネス コンダクト ガイドライン に規定された倫理的な行動基準 守秘義務 およびセキュリティーの要件の遵守について毎年宣誓することが求められています セキュリティーに関する事故は 適用法に基づくデータ侵害の通知要件を考慮に入れて IBM の事故の管理および対応ポリシーに従って処理されます IBM のグローバル サイバーセキュリティー事故管理プラクティスの中核機能は IBM の Computer Security Incident Response Team (CSIRT) によって実施されます CSIRT は IBM の Chief Information Security Office によって管理され グローバル事故管理者およびフォレンジック アナリストが配属されています アメリカ合衆国商務省の国立標準技術研究所 (NIST) のコンピューターのセキュリティー事故対応に関するガイドラインは その進展を報告しており 常に IBM のグローバル事故管理手順の基礎となっています CSIRT は IBM 内のその他の職務部門と連携して疑わしい事故を調査し 必要な場合には 適切な対応計画を策定して 実行します セキュリティー事故 が発生したことが確認されれば IBM は 必要に応じて 速やかに影響を受けるクラウド サービスのお客様に通知します アクセス 介入 転送 および分離の管理 IBM クラウド サービスのアーキテクチャーは お客様データの論理的分離を保持します 社内の規則および手段により データの挿入 修正 削除および転送などのデータの処理を 契約された目的に従って分離します お客様データ ( 個人データを含みます ) に対するアクセスは 職務分離の原則に従って権限のある要員のみに許可され ID およびアクセス管理ポリシーに基づいて厳正に管理され IBM 社内の特権ユーザーの監視および監査プログラムに従って監視が行われます IBM の特権的アクセスの承認は 個人用の 役割ベースのもので 定期的に確認が行われます お客様データに対するアクセスは お客様にサービスやサポートを提供するために必要な程度に制限されます ( 最小限の特権 ) IBM のネットワーク内でのデータ転送は 無線ネットワークを使用せず ファイアウォール内の有線のインフラストラクチャー上で実行されます 要求に応じて またはクラウド サービス契約の条件に従ったサービスの解約により お客様データは メディア サニタイズに関する NIST のガイドラインに従って 復旧が不可能な状態にされます サービスの完全性および可用性管理 IBM クラウド サービスは 実稼働リリースの前に 侵入テストおよび脆弱性スキャンを受けます さらに IBM および認定された独立的な第三者により 侵入テスト 脆弱性スキャンおよび倫理的ハッキングが定期的に実施されます オペレーティング システム リソースおよびアプリケーション ソフトウェアの変更には IBM の変更管理ポリシーが適用されます また ネットワーク機器およびファイアウォールの規則の変更についても変更管理ポリシーが適用され 実装前にセキュリティー スタッフが個別に審査します IBM のデータセンター サービスは HTTPS SFTP および FTPS などの 公共ネットワーク上のデータ伝送に関するさまざまな情報伝送プロトコルをサポートします IBM は 実稼働データセンターのリソースを 1 日 24 時間週 7 日 系統的に監視し

4 データのセキュリティーおよびプライバシーの原則 : IBM クラウド サービス ます 潜在的な危険度の検出および解決を支援するために 内部および外部の脆弱性スキャニングを権限のある管理者が定期的に実施します IBM の各クラウド サービスには ISO 27002 Code of Practice for Information Security Controls に準拠して展開され 維持管理され 検証され テストされた事業継続計画および災害復旧計画が備えられています 各クラウド サービスの復元のポイントおよび目標時間は それぞれのアーキテクチャーおよび使用目的に従って制定され サービス記述書またはその他の取引文書に規定されています オフサイトで保管されるバックアップ データがある場合は 転送前に暗号化されます セキュリティー構成およびパッチ管理のアクティビティーが実行され 定期的に審査されます IBM のインフラストラクチャーには 災害復旧 ソリッド ディスク ミラーリングなどの 緊急計画のコンセプトが適用されます IBM のインフラストラクチャーに関する事業継続計画が文書化され 定期的に再確認されます アクティビティーのロギングおよび入力管理 IBM のポリシーは クラウド サービスのコンピューティング環境に対する管理を目的としたアクセスおよびこの環境内のアクティビティーについて 記録および監視すること ならびに IBM の世界的な記録管理計画に従って ログをアーカイブに保存および保持することを義務付けています 実稼働のクラウド サービスに対する変更は IBM の変更管理ポリシーに従って記録および管理されます 物理的セキュリティーおよび入場管理 IBM は データセンター リソースに対する許可されていない物理的アクセスを制限するように設計された物理的セキュリティー基準を保持します IBM のデータセンターへの入口は制限され アクセス リーダーによって管理され 監視カメラによって監視されています アクセスは 権限のある要員のみに許可されます 雇用が終了した従業員は アクセス リストから削除され アクセス バッジの返却を求められます アクセス バッジの使用については 記録されます 指示の管理 データの処理は オファリングの契約に従って実行されますが この契約に IBM は クラウド サービス オファリングの条件 機能 サポートおよび保守 ならびにお客様データの機密性 完全性 可用性を維持するためにとられる手段を記載します 遵守 IBM のクラウド サービスに関する情報セキュリティーの標準および管理プラクティスは 情報セキュリティーの管理に関する ISO/IEC 27001 標準に合致し ISO/IEC 27002 Code of Practice for Information Security Controls に準拠しています 情報セキュリティー標準の遵守を追跡するために IBM は評価および監査を定期的に実施します さらに IBM のすべての実稼働データセンターでは 毎年 独立的な第三者による業界標準の監査が行われます 第三者のサブプロセッサー IBM のクラウド サービスでは 第三者のサブプロセッサーが 契約上の義務の通常の履行においてお客様データにアクセスすることが必要になる場合があります かかる第三者のサブプロセッサーがクラウド サービスの提供に関与する場合は 要求に応じて 当該サブプロセッサーおよびその役割を通知します IBM は すべてのかかるサブプロセッサーが IBM が提供するセキュリティーおよびプライバシーの全体的なレベルが保たれた標準 プラクティスおよびポリシーを維持することを義務付けています 権限のない個人が施設に入場できる搬入 搬出場所については 厳格に管理されます 搬入 搬出は事前に計画され 権限を有する担当者の承認が必要です 運用スタッフ 施設スタッフおよびセキュリティー スタッフ以外の人は 施設に入場する際に登録され 施設内にいる間は権限のある要員が同行します

データのセキュリティーおよびプライバシーの原則 : IBM クラウド サービス 5 Copyright IBM Corporation 2016 日本アイ ビー エム株式会社 103-8510 東京都中央区日本橋箱崎町 19-21 Produced in Japan 2016 年 4 月 IBM IBM ロゴおよび ibm.com は 世界の多くの国で登録された International Business Machines Corporation の商標です 他の製品名およびサービス名等は それぞれ IBM または各社の商標である場合があります 現時点での IBM の商標リストについては Web サイト "Copyright and trademark information" (ibm.com/legal/copytrade.shtml) をご覧ください 本書の情報は最初の発行日の時点で得られるものであり 予告なしに変更される場合があります IBM 製品は IBM 所定の契約書の条項に基づき保証されます Please Recycle

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック