U.K. 国立監査院 (National Audit Office: NAO) がクラウドサービスに関する監査委員会のガイダンスを更新しましたね。。。
こんにちは、丸山満彦です。
英国の国立監査院 (National Audit Office: NAO) がクラウドサービスに関する監査委員会のガイダンスを更新しましたね。。。前のバージョンは2019年に4月でしたから2年ぶりの更新です。記述が増えましたね(^^)
● U.K. National Audit Office: NAO
・2021.04.30 Guidance for audit committees on cloud services
このガイダンスでは、クラウドサービスの概要と、その利用に関する政府の方針を説明しています。その上で、監査委員会が経営陣と関わる際に、3つの段階で質問することを検討するための具体的な質問を示しています。
- クラウドサービスの評価:組織戦略やデジタル戦略、ビジネスケースプロセス、デューデリジェンスの一環としてクラウドサービスを検討する。
- クラウドサービスの導入:システム構成、データ移行、サービスのリスクとセキュリティを考慮する。
- クラウドサービスの管理と最適化:運用上の考慮点、第三者による保証の必要性、本番稼動を管理するために必要な能力を説明する。
本ガイダンスは、他で配布されている詳細なクラウド・ガイダンスを参照・補完するものです。
ということのようです。。。
・[PDF] Guidance for audit committees on cloud services
目次
Foreword | 序文 |
Introduction | はじめに |
Why this requires attention | なぜこれが必要なのか |
What is government policy on cloud services? | クラウドサービスに関する政府の政策とは? |
Other guidance available | その他のガイダンス |
An overview of cloud services | クラウドサービスの概要 |
Pricing of cloud services | クラウドサービスの価格 |
Legacy systems | 従来のシステム |
Lock-in and exit strategy | ロックインと出口戦略 |
Part One: Assessment of cloud services | 第1部:クラウドサービスの評価 |
Digital strategy | デジタル戦略 |
Business case | ビジネスケース |
Due diligence | デューディリジェンス |
Part Two: Implementation of cloud services | 第2部:クラウドサービスの導入 |
System configuration | システム構成 |
Risk and security | リスクとセキュリティ |
Implementation | 実装 |
Part Three: Management and optimisation of cloud services | 第3部:クラウドサービスの管理と最適化 |
Operations | 運用 |
Assurance | 保証 |
Capability | キャパシティ |
Appendix One: National Cyber Security Centre guidance | 附属書1:王立サイバーセキュリティセンターのガイダンス |
Appendix Two: Assurance arrangements: Service Organisation Controls(SOC) reports, Cyber Essentials and ISO 27001 | 附属書2:保証体制:Service Organisation Controls(SOC)レポート、Cyber Essentials、ISO 27001 |
2019年4月に初版が公表された時のページです。
・2019.04.24 Guidance for audit committees on cloud services
2018年5月に監査委員会向けの啓発をした時のページです。
・2018.05.24 Transformation guidance for audit committees
このガイダンスは、監査委員会が、経営陣が変革によって何を意図しているのか、サービスはどのように変化するのか、そして目的を達成するための戦略を明確にすることを促すためのものです。本ガイダンスでは、3つの段階での質問と、注目すべき証拠や指標を示しています。
- セットアップ:ビジョン、戦略、ガバナンス、アーキテクチャ、および変革の進化する性質を含みます。
- 提供:変更と実装、およびサービスとパフォーマンスの管理をカバーします。
- 実運用と便益の実現:人、プロセス、技術を対象とします。
変革においてデータが中心的な役割を果たすことを踏まえ、本ガイダンスでは、監査委員会がデータの役割と管理について質問できる項目も用意されています。
2017年に監査委員会向けにサイバーセキュリティについて発表した資料
・2017.09.13 Cyber security and information risk guidance for Audit Committees
以下をカバーする質問と問題のチェックリストを提供します。
- サイバーセキュリティとリスク管理についての全体的なアプローチ
- サイバーセキュリティを管理するために必要な機能
- 情報リスク管理、ネットワークセキュリティ、ユーザー教育、インシデント管理、マルウェア保護、監視、在宅およびモバイル作業などの特定の側面
- クラウドサービスの利用や新しいサービス・テクノロジーの開発などの関連分野
« NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践 | Main | Cloud Security Alliance APIを提供・利用するためのセキュリティガイドライン »
Comments