« NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践 | Main | Cloud Security Alliance APIを提供・利用するためのセキュリティガイドライン »

2021.05.01

U.K. 国立監査院 (National Audit Office: NAO) がクラウドサービスに関する監査委員会のガイダンスを更新しましたね。。。

こんにちは、丸山満彦です。

英国の国立監査院 (National Audit Office: NAO) がクラウドサービスに関する監査委員会のガイダンスを更新しましたね。。。前のバージョンは2019年に4月でしたから2年ぶりの更新です。記述が増えましたね(^^)

U.K. National Audit Office: NAO

・2021.04.30 Guidance for audit committees on cloud services


このガイダンスでは、クラウドサービスの概要と、その利用に関する政府の方針を説明しています。その上で、監査委員会が経営陣と関わる際に、3つの段階で質問することを検討するための具体的な質問を示しています。

  • クラウドサービスの評価:組織戦略やデジタル戦略、ビジネスケースプロセス、デューデリジェンスの一環としてクラウドサービスを検討する。
  • クラウドサービスの導入:システム構成、データ移行、サービスのリスクとセキュリティを考慮する。
  • クラウドサービスの管理と最適化:運用上の考慮点、第三者による保証の必要性、本番稼動を管理するために必要な能力を説明する。

本ガイダンスは、他で配布されている詳細なクラウド・ガイダンスを参照・補完するものです。


ということのようです。。。

・[PDF] Guidance for audit committees on cloud services

20210430-235829

目次

Foreword 序文
Introduction はじめに
 Why this requires attention  なぜこれが必要なのか
 What is government policy on cloud services?  クラウドサービスに関する政府の政策とは?
 Other guidance available  その他のガイダンス
An overview of cloud services クラウドサービスの概要
 Pricing of cloud services  クラウドサービスの価格
 Legacy systems  従来のシステム
 Lock-in and exit strategy  ロックインと出口戦略
Part One: Assessment of cloud services 第1部:クラウドサービスの評価
 Digital strategy  デジタル戦略
 Business case  ビジネスケース
 Due diligence  デューディリジェンス
Part Two: Implementation of cloud services 第2部:クラウドサービスの導入
 System configuration  システム構成
 Risk and security  リスクとセキュリティ
 Implementation  実装
Part Three: Management and optimisation of cloud services  第3部:クラウドサービスの管理と最適化 
 Operations  運用
 Assurance  保証
 Capability  キャパシティ
Appendix One: National Cyber Security Centre guidance 附属書1:王立サイバーセキュリティセンターのガイダンス
Appendix Two: Assurance arrangements: Service Organisation Controls(SOC) reports, Cyber Essentials and ISO 27001 附属書2:保証体制:Service Organisation Controls(SOC)レポート、Cyber Essentials、ISO 27001

 

2019年4月に初版が公表された時のページです。

・2019.04.24 Guidance for audit committees on cloud services

20210501-00430

 

2018年5月に監査委員会向けの啓発をした時のページです。

・2018.05.24 Transformation guidance for audit committees


このガイダンスは、監査委員会が、経営陣が変革によって何を意図しているのか、サービスはどのように変化するのか、そして目的を達成するための戦略を明確にすることを促すためのものです。本ガイダンスでは、3つの段階での質問と、注目すべき証拠や指標を示しています。

  • セットアップ:ビジョン、戦略、ガバナンス、アーキテクチャ、および変革の進化する性質を含みます。
  • 提供:変更と実装、およびサービスとパフォーマンスの管理をカバーします。
  • 実運用と便益の実現:人、プロセス、技術を対象とします。

変革においてデータが中心的な役割を果たすことを踏まえ、本ガイダンスでは、監査委員会がデータの役割と管理について質問できる項目も用意されています。


20210501-60920

 

2017年に監査委員会向けにサイバーセキュリティについて発表した資料

・2017.09.13 Cyber security and information risk guidance for Audit Committees


以下をカバーする質問と問題のチェックリストを提供します。

  • サイバーセキュリティとリスク管理についての全体的なアプローチ
  • サイバーセキュリティを管理するために必要な機能
  • 情報リスク管理、ネットワークセキュリティ、ユーザー教育、インシデント管理、マルウェア保護、監視、在宅およびモバイル作業などの特定の側面
  • クラウドサービスの利用や新しいサービス・テクノロジーの開発などの関連分野

20210501-61608

 

|

« NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践 | Main | Cloud Security Alliance APIを提供・利用するためのセキュリティガイドライン »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践 | Main | Cloud Security Alliance APIを提供・利用するためのセキュリティガイドライン »