|
|
|
SMI 特性ツリーには、複数レベルの構造があり、メインの各特性に対して最大 3 つの詳細レベルが付随しています。
(既存のナレッジ、マニュアル、テクニックなどの)一般的な方法で、サービスを通常の運用状態に戻す場合に、どのくらい簡単にできるかを示します。
サービス プロバイダが、サービスを適切な修復状態に保持するために、サービスに対して変更を加えることができる能力を示します。
サービス プロバイダが、特定された問題を解決し、サービスを正常な運用状態に戻すために要した時間を示します。
適切なリスク管理と緩和計画によって、サービスが中断されずに可用性を維持できる能力を示します。
サービスが利用可能であり、期待された運用状態にある時間の割合を示します。
指定された期間において、指定の条件下でサービスが問題なく稼動する能力を示します。
サービスが変更、劣化、または置き換えに対してどの程度耐久性があるかを示します。
計画されたイベントまたは計画外のイベントが発生した後に、サービスが本来の設定状態に戻ることができる能力を示します。
サービスの計画外の中断が発生した後に、通常の運用状態を再開できる能力を示します。
サービスの特定の動作の原因を、規定の時間内に的確に特定できる能力を表します。
機能性は、サービスの適切性、完全性、正確性を測ります。サービスのその目的に対してどの程度適合しているかを測定します。
サービスが意図された目的を実現できる能力を測定します。
サービスが正確な情報を提供する能力があることを指します。
サービスが一連のテストを受け、同様の結果を出せることができる能力を指します。
サービスが互いに効果的に連携する能力、組織内の他のまたは既存のシステムをサポートする能力を指します。
新しい機能またはコンポーネントの追加など、サービスへの変更が、外部インターフェースはそのまま使用し、内部動作のみを変更するものである場合に、その変更を指します。
特定の目的または結果の達成において、明らかな効果をもたらすサービスの能力を指します。
特定のビジネス戦略、目標、または結果をサポートするサービスの能力を指します。
サービスが特定のタスクを無駄なく実行できる能力を表します。
サービスによって提供される指定の機能を実行するためにかかる時間です。
環境への影響を最小限に抑えて資源を保護するという目的と照らし合わせて、サービスに使用されるエネルギーおよび資源の使用量と出所を測ります。
特定の目標を達成するためにサービスをどの程度容易に使用できるかを示します。
サービスを、そのコンポーネントの自動設定によって最小限のリスクで正常運用の状態にできる能力を指します。
特定の職務要件の日常の業務において簡単に適用できる機能をサポートするサービスの性質を表します。
サービスによって提供される機能をどの程度容易に使用できるかを表します。
サービスが指定された一連の状況下で期待される動作を達成する能力を指します
プロバイダとの間で、法的な契約を適切かつ迅速に締結できる能力を指します。
性能は、サービスの機能性を構成し、サービスを説明する特徴および機能のセットです。 これらの特性は、特定のサービスまたはサービス カテゴリの能力によって異なります。
認識度および可視性は、組織の IT 運用に対する洞察力に対して、サービスが与える影響を測ります。
移植性は、組織データ、アプリケーション、プロセス、プロシージャが、あるサービスから別の同様のサービスに簡単に移植できるかどうかを示します。
組織がサービスの 1 つのプロバイダから同じサービスを提供する別のプロバイダに、ビジネスの運営にほぼ影響なく容易に移行できる能力を指します。
抽象化されたサービスを使用することは、内部または外部のいずれのサービス プロバイダから提供された場合でも、組織がビジネス イベントにいかに迅速に対応できるかに影響します。
多くのサービスで大きく求められる機能は、キャパシティをオンデマンドで拡張できる機能です(これは、手動でのリクエストまたは自動プロセスを通じて行われます)。 また、リソースの利用率を低減させ、運用を縮小する機能も同様に求められます。
プロバイダ リスクは、サービス プロバイダと、サービス プロバイダがビジネスを遂行する方法に関連して存在するリスクの集合です。
サービス プロバイダの整合性および可能な継続性を指し、キャパシティ、財務、組織構成、およびプロセスから構成されます。 品質保証やパフォーマンスなど、その他の安定性の問題は、スコアリング プロセスで別途対応されます。 財務実績の悪い組織は、サービスの中断による被害を被る可能性がより高くなります。その理由としては、ベンダーへの支払いを履行できない、人員を確保および維持できない、顧客ニーズの変化に応じて運用規模を拡大できない、などがあります。 また、新興市場の比較的小規模な組織は、合併買収活動の対象になる可能性が高く、結果として戦略的または価格的リスクを冒して安定性を向上させたり、統合中はサービスが不安定になることがあります。
サービス プロバイダが IT セキュリティおよび運用について適切な業界標準の認証を受けていないというリスクを表します。 典型的な認証は ISO 27000、PCI DSS、および SAS 70 です。 それらの認証を受けているサービス プロバイダは、認証されていないプロバイダよりリスクが少ないと見なされます。認証されたということは、認証のスコープを網羅するドキュメント化された統制があり、サードパーティ組織によって監査されていることを意味するからです。
内部または外部のプロバイダかどうかに関係なく、サービス プロバイダが、SLA でコミットされている必要なサービス レベルの十分な領域を提供しないか、必要なサービス レベルのパフォーマンス インジケータとして使用でき、容易にアクセス可能な最新のメトリックを提供しないリスクを表します。 サービスの重要な要件はすべて SLA に明記される必要があり、同時に、サービス レベルの達成度を証明するために使用されるメトリックも説明されている必要があります。 サービス レベルが一定の期間にわたって継続的に要件を満たしていることを顧客が検証できるよう、これらのメトリックには顧客が容易にアクセス(プログラミングまたは Web ポータル)できる必要があります。
サービス プロバイダは、その「稼働」チェーン内の特定のタスクをサードパーティにアウトソースする場合があります。 そのような場合、プロバイダのセキュリティおよび信頼性のレベルは、各リンクのセキュリティと信頼性のレベル、およびサードパーティに対するプロバイダの依存度によって決まります。 チェーン内での中断や破損、または関係者間での責任の調整不足によって、サービスが利用できない、データの機密性、完全性、可用性が損なわれる、顧客の要求に応えられないために経済的損失を被るか評判を落とす、SLA に違反する、サービスの失敗が連鎖する、などの事態が発生することがあります。
サービス プロバイダがビジネスを遂行する方法を指します。これには、規制のコンプライアンスのスコープには含まれないビジネスの慣行および倫理などがあります。 倫理性には、サプライヤ、顧客、従業員との公平なビジネスの遂行が含まれます。
法的および規制のコンプライアンスすべてが含まれ、組織が法令に準拠していること、およびそれを実証する能力があることが含まれます。
これは次のようなリスクを指します: サービス プロバイダが [1] サービスで提供される IT 統制のドキュメントを提供できず、それがどのように検証されるかを説明できない。[2] 統制の検証の結果(最新および履歴)を表すデータで、容易にアクセスおよび検証が可能なデータを提供できない。[3] 統制に対して定期的にスケジュールされた顧客の内部監査および外部監査をサポートしない。
サービスまたはデータの盗難、詐欺、誤用のリスクで、従業員、契約者、サードパーティのユーザが役割に適切でないために発生します。 サービス プロバイダでのセキュリティ職位に対しては、適切な職務記述書、採用および退職のプロセス、および機密性の高い役職にふさわしい雇用条件が存在する必要があります。 特に、すべてのセキュリティ担当者は、採用時に適切に精査され、その後も定期的に確認される必要があります。 また、24 時間 365 日の運用を見守るセキュリティ担当者の大半は、IT セキュリティの専門家として訓練され認定されている必要があります。
サービス プロバイダの敷地および情報への不正なアクセス、損害、妨害などのリスクを表します。 クリティカルまたは機密性の高い情報処理施設は、安全な領域に配置され、適切なセキュリティの障壁および入場制御によって安全に保護されている必要があります。 不正なアクセス、損害、および妨害から物理的に保護されている必要があります。 提供される保護は、特定されるリスクに対応できるものである必要があります。
サービスの IT 機能の正しくないまたは安全でない運用のリスクを表します。 サービス プロバイダと顧客の IT 管理責任は、職務および調整に(必要に応じて)明確に定義されている必要があります。 サービス プロバイダは、必要な管理インターフェース、機能、プロセスを顧客に提供し、顧客がそのサービスの責務を効果的に管理できるようにする必要があります(これには、ログ記録、ログの監視、ログのセキュリティが含まれます)。 クラウド アーキテクチャでは、潜在的にリスクの高い特定の役割が必要になるため、職務分離のコントロールが必要に応じて実装され、悪意のある関係者によってシステムが故意に悪用されたり不注意に使用されたりするリスクを削減します。
顧客のセキュリティ ポリシーおよび規制の要件に適合するサービス内において、サービスとデータへのアクセスに対する不適切な制御によるリスクを指します。 アクセス制御ポリシーには、サービス プロバイダと顧客の両方が関与しますが、必要なアクセス制御を備え、定期的に合意、ドキュメント化、およびレビューされるものである必要があります。 アクセス制御ルールと、サービス プロバイダおよび顧客ユーザ グループの権限は、アクセス制御ポリシーに明白に述べられている必要があります。 アクセス制御は論理的および物理的であり、両方を併せて考慮する必要があります。 これには、ユーザ アクセス管理、ネットワーク アクセス制御、o/s アクセス制御、アプリケーション アクセス制御、データ アクセス制御、モバイル アクセス制御などが含まれます。
顧客のデータを保護するために定められた対策を表します。 これには、サービス プロバイダが規定のポリシーに準拠していること、地理的および政治的なデータの場所、データの所有権、プライバシーとデータ損失、データの完全性などが含まれます。
サービス プロバイダでは、セキュリティとデータ保護のすべてに対応するポリシーの包括的なセットが定められ、規定のポリシーに準拠していることを保証するための統制が機能している必要があります。 ポリシーは、顧客がレビューできるような状態であり、ポリシーが常に準拠されていることを実証できるものである必要があります。
サービス プロバイダは、データの保持および破棄に関して明示的なポリシーを持っている必要があります。 このポリシーは、コンプライアンス(Sarbanes Oxley 法または Graham Leach Bliley Act など)に必要とされる保持期間に対する顧客要件を満たすものであり、法的な要求に対応してデータの保持期間を拡張でき、必要なくなった場合にはデータを完全かつ安全に破棄できるものである必要があります。
サービス プロバイダは、規定のポリシーに準拠していることを実証できる必要があります。 これには、ログ記録、レポート、内部または外部の監査結果が提供可能であること、さらにサービス プロバイダが公のポリシーに従っており、適切な記録を保持していることを証明するあらゆる仕組みが含まれます。
顧客データが複数の管轄地域で保持される場合があるというリスクを表します。一部の地域はリスクが高い場合もあります。 データ センターがリスクの高い国(たとえば法による規制が十分でない、予測不可能な法的体制および執行がある、独裁的な警察国家、国際協定などを尊重しない国など)に位置する場合もあります。場合によっては、国の規制のために、データが地理的な境界を超えることが許可されないこともあります。
サービスによって格納、作成、または処理されたデータは、サービス プロバイダとの関係の条件によって使用または所有が制限される場合があります。 これは、ユーザが目的を達成したり、データを転送または再利用したりする能力に影響を及ぼす可能性があります。
これはサービス プロバイダに付随する以下のリスクです: [1]サービス内のデータのライフ サイクル全体を通して、サービスのセキュリティやプロセスの問題により、PI の損失または漏えいを検出できない。[2]損失の詳細について、規制要件に対応するためおよび必要な修復を行うために適切な期間内に顧客に通知しない(よって、損失の被害者となる可能性のある関係者にも通知しない)。
データの完全性は、サービスによって格納、作成、処理されたデータの妥当性および恒久性、データの使用に対する適合性、データに対する信頼性を指します。
サービス サブスクライバが初回提供時に負担する費用を指します。
サービス サブスクライバが、サービスに対するサブスクリプション料として継続的に負担する費用(価格)を指します。
サービスのコストを測定する直接インジケータ
| Copyright © 2012 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |