クラウド セキュリティ ポリシーと標準の機能
セキュリティ ポリシーと標準のチームは、組織内でのセキュリティに関する決定を支援するためのセキュリティ ポリシーと標準を作成、承認、公開します。
ポリシーと標準は、次のようなものである必要があります。
- 組織のさまざまなチームによる意思決定に役立つよう十分に詳細に、組織のセキュリティ戦略が反映されています
- 組織全体の生産性を向上させると同時に、組織のビジネスおよびミッションのリスクを軽減します
セキュリティ ポリシーには、組織のセキュリティ戦略とリスクの許容範囲に合致した、長期的に持続可能な目標が反映されている必要があります。 ポリシーでは常に以下に対応する必要があります。
- 規制遵守要件と現在のコンプライアンス対応状態 (要件が満たされている、リスクが許容されるなど)
- 現在の状態のアーキテクチャ評価と、技術的に可能な設計、実装、適用
- 組織の文化と優先事項
- 業界のベスト プラクティス
- 他のリスクやビジネスの結果を担当する適切なビジネス利害関係者に割り当てられたセキュリティ リスクのアカウンタビリティ。
セキュリティ標準では、セキュリティ ポリシーの実行をサポートするプロセスとルールを定義します。
最新化
ポリシーは変えないでおく必要がありますが、標準は、クラウド テクノロジ、脅威環境、ビジネスの競合の見通しにおける変化のペースに遅れないように、動的かつ継続的に再検討する必要があります。
このように変化が大きいため、行われている例外の数を常に把握しておく必要があります。これは、標準 (またはポリシー) を調整する必要があることを示している可能性があるためです。
セキュリティ標準には、次のようなクラウドの導入に固有のガイダンスを含める必要があります。
- ワークロードをホストするためのクラウド プラットフォームのセキュリティで保護された使用
- DevOps モデルのセキュリティで保護された使用と、開発へのクラウド アプリケーション、API、サービスの組み込み
- ネットワーク境界コントロールを追加または置換するための ID 境界コントロールの使用
- ワークロードを IaaS プラットフォームに移行する前の、セグメンテーション戦略の定義
- 資産の機密度のタグ付けと分類
- 資産が適切に構成および保護されていることを評価および確認するためのプロセスの定義
チームの構成と重要な関係
クラウド セキュリティ ポリシーと標準は、通常、次の種類のロールによって提供されます。 組織のポリシーでは、それらに通知する (および、それらから通知を受け取る) 必要があります。
- セキュリティ アーキテクチャ
- コンプライアンスおよびリスク管理チーム
- ビジネス ユニットのリーダーと代表者
- 情報技術
- 監査チームと法務チーム
ポリシーは、組織全体からの多くの入力と要件に基づいて調整される必要があります。これには、セキュリティ概要図に記載されているものが含まれますが、これだけではありません。
次のステップ
クラウド セキュリティ オペレーション センター (SOC) の機能を確認します。