コンプライアンス

An OpenStack deployment may require compliance activities for many purposes, such as regulatory and legal requirements, customer need, privacy considerations, and security best practices. The Compliance function is important for the business and its customers. Compliance means adhering to regulations, specifications, standards and laws. It is also used when describing an organizations status regarding assessments, audits, and certifications. Compliance, when done correctly, unifies and strengthens the other security topics discussed in this guide.

この章の目的は以下の通りです。

• 共通のセキュリティ原則を確認する

• 業界認定や監督当局の認証を得るために必要な、共通コントロールフレームワークと認定リソースを説明する

• 監査人がOpenStack環境を評価する際のリファレンスとなる

• OpenStackおよびクラウド環境におけるプライバシーの考慮事項を説明する

• コンプライアンス概要
  • セキュリティ原則
  • 一般的なコントロールフレームワーク
  • 監査参照
• 監査プロセスを理解する
  • 監査の範囲を決定する
  • 監査フェーズ
  • 内部監査
  • 外部監査に備える
  • 外部監査
  • コンプライアンスの維持
• コンプライアンス活動
  • Information Security Management System (ISMS)
  • リスク評価
  • アクセスとログのレビュー
  • バックアップと災害対策
  • セキュリティトレーニング
  • セキュリティの検査
  • 脆弱性管理
  • データの分類
  • 例外プロセス
• 認証とコンプライアンスの報告書
  • 商業規格
  • 政府標準
• プライバシー