Comments
Description
Transcript
External Supplier Control Obligations
外部サプライヤー管理義務 技術リスク 2016年12月付け第7.0版 管理エリア 管理内容 本件が重要である理由 継続的なサポート手配を確保する サプライヤーは、直接または間接を問わず、 Barclaysへのサービス提供に使用するIT資産 のサポート提供能力に周知の変更がある場 合、これをBarclaysに直ちに知らせ、これら のIT資産のタイムリーなアップグレードまた は撤去を行うものとします。 サポート対象外となるハードウェア・ソフトウェア資 産、または旧式のハードウェアやソフトウェアに依存す る技術サービスに関する記録および/または手続きが不十 分である場合、許容できないパフォーマンス、不安定 性、セキュリティーの脆弱性、ビジネスの喪失、および 過大な移行コストが発生する場合があります。 2.インシデント処理 インシデントの記録、分類、解決 サプライヤーは、すべての運営上のインシデ ントが適切に識別、記録、分類され、速やか に解決されるか、または必要に応じエスカレ ーションが行われるITシステムおよびサービ スの運営に関するインシデント処理体制を構 築するものとします 技術インシデントが適時に報告されない場合、または十 分な説明がされない場合、あるいは必要な是正措置が取 られなかった場合、回避できたはずのシステム/サービス の中断またはデータの破損や消失が発生する場合があり ます 3.問題の管理 技術的問題の特定、評価/分析、および解 決 サプライヤーは、根本原因分析を通じてかか る問題が特定、記録され、インシデントの再 発の可能性と影響を最小限にするための効果 的な解決策が講じられる、重大な技術インシ デントの原因となった問題を適時調査するた めの体制を構築するものとします。 技術サービスの提供に影響を与えるインシデントの発生 原因となった問題が適時に特定、解決されない場合、回 避することができたはずのシステム/サービス中断または データの破損や消失が発生する場合があります 4.設定管理 完全で正確な技術設定記録を保持する サプライヤーは、Barclaysへのサービス提供 において使用されるすべての技術要素(ハー ドウェアおよびソフトウェア)に関する完全 で正確な登録エントリーを継続的なサポート に必要な情報と共に保管し、かかるエントリ ーを最新のものに維持するものとします。か かる技術構成部品は合わせて「生産環境」と 総称されます 既定の所有権およびサードパーティ依存性などの技術要 素(ハードウェアおよびソフトウェア)の登録エントリ ーが不適切な場合、安全でないまたは信頼できないサー ビスやデータが発生する場合があります 5.設定管理 生産環境の分離 サプライヤーは、Barclaysへのサービス提供 において使用される、すべての生産ITシステ ムおよびサービスが、生産環境以外の構成要 素により構成されることがなく、使用される ことがなく、アクセスされることがないこと を保証するものとします 既定の所有権およびサードパーティ依存性などの技術要 素(ハードウェアおよびソフトウェア)の登録エントリ ーが不適切な場合、安全でないまたは信頼できないサー ビスやデータが発生する場合があります 1.老朽化の管理 2016年12月付け第7.0版 管理対象 管理エリア 管理対象 管理内容 本件が重要である理由 6.設定管理 ソースコード管理の実行 サプライヤーは、イベントモニタリング、バ ッチ処理、レポート作成、ファイル転送など を可能にするBarclaysへのサービスの提供に 関連するソースコードおよびスクリプト/ユ ーティリティ(最新バージョンと以前のバー ジョン)が、適切にCMDBツールに記録され、 変更管理の下で管理されていることを確認す るものとします。 既定の所有権およびサードパーティ依存性などの技術要 素(ハードウェアおよびソフトウェア)の登録エントリ ーが不適切な場合、安全でないまたは信頼できないサー ビスやデータが発生する場合があります 7.サービスの継続 適切な回復/復旧に関する取り決めの提供 と検証 サプライヤーは、Barclaysに提供する各ITシ ステムおよび各サービスに関するBarclaysの 回復/復旧ニーズを理解し、これに合意する ものとします。また、サービス継続のための 取り決めが適切に実施され、信頼できるもの であることを保証するものとします サービス継続計画が欠如している場合、または不十分で ある場合、インシデント発生後にビジネスまたは顧客に 提供する技術サービスにおいて許容できない損失が発生 する場合があります 8.サービスの継続 データセンター環境の管理 サプライヤーは、Barclaysへのサービス提供 に関連するデータセンターの環境上および物 理的なセキュリティに関する取り決めが十分 に確立、運営、管理されていることを保証す るものとします。 サービス継続計画が欠如している場合、または不十分で ある場合、インシデント発生後にビジネスまたは顧客に 提供する技術サービスにおいて許容できない損失が発生 する場合があります サプライヤーは、Barclaysへのサービス提供 において使用されるすべてのITシステムとサ ービスには、Barclaysのニーズに沿って運用 され、定期的にその効果を証明するために十 分なバックアッププロセスが設けられている ことを確認するものとします。 ビジネスデータバックアップ体制が欠如している場合ま たは不十分である場合、システム/サービスの中断、デー タの消失または不適切なデータの開示が発生する場合が あります サプライヤーは、Barclaysへのサービス提供 に関連するすべてのバックアップメディア を、それらのメディアの処理および保管に関 する取り決めと共に、いかなる時にも安全か つ信頼できるように保つものとします。 ビジネスデータバックアップ体制が欠如している場合ま たは不十分である場合、システム/サービスの中断、デー タの消失または不適切なデータの開示が発生する場合が あります 9.システムおよびデ 適切で効果的なバックアッププロセスの運 ータのバックアップ 用 に関する取り決め 10.システムおよび 安全でセキュアであり、信頼性の高いバッ データのバックアッ クアップメディアの確保 プに関する取り決め 2016年12月付け第7.0版 管理エリア 11.パフォーマンス 管理対象 2016年12月付け第7.0版 本件が重要である理由 Barclaysの技術ニーズに沿っていること サプライヤーは、Barclaysへのサービス提供 に使用されるすべての主要IT要素のパフォー マンスと容量の適切なレベルを定義し、Barc laysのニーズに沿ったサービス提供を行うた めに定期的な監視を行うものとします。 ビジネス/取引先のニーズに関する定義および/または文 書が不十分な場合、技術サービスにおいて許容できない パフォーマンスおよびビジネス損失が発生する場合があ ります 厳格な変更管理の実施 サプライヤーは、Barclaysへのサービス提供 に使用されるすべてのIT要素が、以下の目標 をすべて考慮した厳格な変更管理体制下に管 理されていることを確認するものとします: - 適切な許可なく変更を実施しない - 変更開始者と承認者と実施者の間の責務 を分離する - 関連のリスクレベルに従って変更を計画 および管理する - 変更においては、影響を受ける技術要素 のパフォーマンスおよび/または容量に対す る潜在的な影響を十分に考慮する - すべての変更は、完全に承認されてから 実施する - 生産環境を変更する権利は、役割の履行 のために権利を必要とする者のみに限定され る - 変更においては、その変更に関連する技 術的およびビジネス上のテストを受け、その 証拠を保存する - テスト要件と計画されたテスト業務に適 切な専用環境でテストを実施する - 変更においては、十分なユーザートレー ニングとシステム、ユーザー、手順文書への 適切なアップデートを行う ITリソースのパフォーマンスおよび/または容量レベルを 監視し、現在および将来の要件に沿うよう維持するため の対策が不十分な場合、技術サービスにおいて許容でき ない低下および/または中断およびビジネス損失が発生す る場合があります。また、技術サービスへの不正な変更 または不適切な変更を防止するための変更プロセスが不 十分な場合、サービスの中断、データの破損、データの 消失、プロセスエラーまたは詐欺が発生する場合があり ます と容量の管理 12.変更管理 管理内容