7. IT基盤運用管理
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | クラウドサービスおよびそれに付随する管理対象 |
1. 管理体制
Section titled “1. 管理体制”システム管理者は、IT基盤の運用にあたり、情報セキュリティ対策を考慮してクラウドサービスを選定する。 IT基盤に関する重要な情報セキュリティ対策および仕様については、情報セキュリティ責任者の承認を得る。
2. IT基盤の情報セキュリティ対策
Section titled “2. IT基盤の情報セキュリティ対策”2.1 IT基盤の構成方針
Section titled “2.1 IT基盤の構成方針”当社のIT基盤は、クラウドサービスのみで構成するものとし、サーバー等のオンプレミスIT基盤は利用しない。 業務に必要なIT基盤機能は、クラウドサービスまたはクラウドサービス上で提供される機能を利用して実現する。
なお、業務に付随して利用するプリンタ、ルーター、アクセスポイント等の周辺機器については、本項の対象外とする。
2.2 認証情報および設定の管理
Section titled “2.2 認証情報および設定の管理”IT基盤で利用する管理用アカウントおよび設定は、システム管理者が管理する。 初期設定のままの認証情報は使用せず、適切な設定を行う。
2.3 ネットワークおよび通信
Section titled “2.3 ネットワークおよび通信”IT基盤における通信は、クラウドサービス提供者が提供する標準的なセキュリティ機能を利用する。
3. IT基盤の運用
Section titled “3. IT基盤の運用”システム管理者は、IT基盤の運用にあたり、以下を実施する。
- 管理用アカウントおよび権限の適切な管理
- 不要となったアカウント、設定、サービスの削除または無効化
4. クラウドサービスの導入
Section titled “4. クラウドサービスの導入”IT基盤の一部として新たにクラウドサービスを導入する場合は、システム管理者が当該サービスの情報セキュリティ対策を確認したうえで選定する。 新規導入にあたっては、システム管理者の承認を得る。
5. 脅威および攻撃に関する情報の収集
Section titled “5. 脅威および攻撃に関する情報の収集”システム管理者は、クラウドサービス提供者や公的機関等が公開する脅威および攻撃に関する情報を収集し、必要に応じて関係者に共有する。
6. サービスの廃止
Section titled “6. サービスの廃止”IT基盤として利用していたクラウドサービスを廃止する場合は、当該サービス上の業務データおよび認証情報が残存しないよう、適切な措置を講じる。