元気にやっていますか?
私は相変わらず、曖昧な空白とともにふらふらする毎日です。
健体壮美なあなたのことだから大丈夫だとは思いますが、
くれぐれもお体にはお気をつけください。

2009/12/19

国が調達するシステムの情報セキュリティポリシー

ロスアンゼルス市のクラウド利用要件?(まるちゃんの情報セキュリティ気まぐれ日記)
 システム監査の勉強の一環としていつも読んでいるこのブログ。
私のすっとぼけたコメントに対して、夏井高人教授(上ブログの著者ではない)にご丁寧な回答をいただき、とても勉強になった。
下記の要件を満たさないものは禁止したほうがよいと思います。
1:仮想サーバ部分だけではなく,システム全体について,構成の詳細,ソースコード,運用担当者の全個人情報を事前開示すること。かつ,契約締結以降に変動があった場合には逐次報告することを約定すること。
2:当該システムを共用している利用者(企業,国などを含む。)の全リストを事前公開し,もしコンフリクトのおそれがある場合にはその情報を提供すること。かつ,契約締結以降に変動があった場合には逐次報告することを約定すること。
3:データのバックアップについて,保証を約定すること。
4:第一審の管轄裁判所を日本国の東京地方裁判所とし,準拠法を日本国法とすること。
5:プライバシーポリシー及びセキュリティポリシーについては全て日本国が採用するものに従うものとし,これと抵触するポリシーが存在する場合には,日本国が採用するポリシーを優先して適用するものとし,その抵触する部分を無効とすること。
6:当該システムの仮想サーバ部分だけではなくシステム全体について,日本国が任意の時期に任意の方法により徹底的なシステム監査を実施できるものとすること。その場合においては,日本国が当該システム全体についてroot権限を有するものとすること。
7:十分な額の損害賠償額の予定を約定し,当該企業が日本国内に十分な資産を有しない場合には担保を提供させること。
以上です。
要するに,技術的にも,マネジメントの上でも,法的にも日本国に絶対服従することを約束する場合にのみ調達可能とするというポリシーです。

開発の現場にいるとトップダウンの視点が疎かになりがちだから、気をつけねば。

0 件のコメント:

コメントを投稿