Slide 33
Slide 33 text
ISMAP監査の実際(1)
Copyright © 2023, Oracle and/or its affiliates
クラウドサービスの対応状況を整理
• ISMAPセキュリティ基準、約1,200項目を確認
• 採用した管理策をリスト化した詳細管理策を作成
• エビデンスとなるドキュメントの紐付けを実施
監査人による詳細管理策 実施状況チェック
• 監査人からの質疑対応
• 要求された追加ドキュメントの収集、提示
• 技術的な項目としてログやソースコードの収集、提示
• [運用状況監査]
• 実際のエビデンスの母集団を作成、サンプリングに
より抽出されたエビデンスの確認を(監査機関
が)行う
• クラウド環境への実際のアクセスログ
• H/W, S/W資産の配備・廃棄状況
• etc
詳細管理策 ポリシードキュメント
・・・・・・
・・・・・・
・・・・・・
登録ISMAP監査機関により1.質問、2.閲覧、3.観察の技法で監査
データセンターの現地監査(観察)だけが監査ではありません。
33