この記事では、SecureNaviを活用した情報セキュリティ継続の取り組み方について、具体的な方法を記載をしています。
参考記事:
情報セキュリティ継続の取り組みは、大きく2つに分かれます。
1. 対象となるシステムを選定し、計画をたてる
ISMSの適用範囲の中で、緊急時でも、特に情報セキュリティが強く求められるシステムを、少なくとも1つ洗い出します。緊急時の情報セキュリティという表現がピンとこない場合は、「緊急時の情報の可用性の維持」と考えてもよいでしょう。つまり、どんな事態が起こっても継続して稼働し続けないといけないシステムを洗い出すことになります。このシステムは、自組織においてシステム(例えば社内サーバ、社内ネットワーク、クラウドサービスなど)の場合もあれば、自組織が開発し、顧客に提供しているシステムの場合もあります。
洗い出したシステムに対しては、目標と、仮に停止してしまった場合の復旧計画を記載する必要があります。
■目標
目標復旧時間 や 最大許容停止時間 を記入してください。目標復旧時間とは、システムが停止してから復旧するまでの目標時間です。最大許容停止時間は、事業上許される最大停止時間のことです。両方記載しても良いですし、どちらかでも構いません。
これらの時間に正解はありませんので、対象となるシステムの重要性を鑑みながら、ある程度「えいや」と決めてしまっても構いません。
■復旧計画
仮にシステムが停止してしまった場合の復旧計画を記載します。復旧計画の書き方は、システムの種類によって様々です。
システムの種類 | 復旧計画の例 |
---|---|
自社にて構築しているシステム | ・バックアップからのリストア手順 ・リリースの切り戻し手順 ・異なる系統や冗長システムへの切替手順 |
クラウドサービス | ・代替となるシステムへの乗り換え手順 ・当該クラウドサービスを利用せずに業務を行うための手順 |
すでに社内に上記のようなドキュメントがある場合は、記載を省略したり、そのドキュメントへのリンクを貼り付ける方法でも構いません。
2. 検証を実施する
対象となるシステムを洗い出し、目標や復旧計画を立てたら、そのシステムが万が一停止した際に、目標時間までに復旧できるかの「検証」を行う必要があります。
検証は、いわゆるテスト環境やステージング環境といった、本番環境に似せた模擬環境で行うこともできますし、本番環境で行っても構いません。仮に本番環境で検証を行う場合は、実際のサービス稼働に影響が出ないように、十分に注意してください。