この文書では, セキュリティ事故が発生した場合の対応の標準を規定する.
社外サービスでのセキュリティ事故の例を挙げる.
以下にセキュリティ事故のレベルを示す. 情報のレベルは次を参照: level-infomation
提供するサービスにレベル2もしくは3のセキュリティ事故が発生した場合, 事故に気付いた構成員は以下に報告しなければならない.
- 上長
- 緊急報告メーリングリスト
情報セキュリティ委員会は, サービスの開発者/運用者と共に対応にあたらなければならない 情報セキュリティ委員会委員長が事故対応の責任者となる. ただし, 情報セキュリティ委員会が別の者が責任者に適任だと判断した場合は例外を認める.
事故対応責任者は, 後日の検討のために事故当時のログや設定などの状態を保存しなければならない. ただし, 事故の解決が優先と判断した場合は除く.
事故対応者それぞれは, 後日の検討のために対応の記録を取らなければならない. ただし, 事故対応責任者が, 事故の解決が最優先と判断した場合は除く.
事故対応責任者は, 社内のみの対応では不十分と判断した場合に, 外部業者に対応の一部を依頼してもよい.
情報セキュリティ委員会は, 事故対応を依頼できる外部業者を選定し一年に一度見直さなければならない.
事故対応責任者は, 事故対応の社内向け報告書を作成しなければならない.
報告書のフォーマットは以下の障害報告フォーマットに準ずる.:
(春山が作成したものではないので削除)
情報セキュリティ委員会は, 事故の検討会を開催しなければならない. 必要があればセキュリティ標準/手順やその他のルールの見直しを行う必要がある.
サービスの運用者は, レベル2以上の事故の場合事故についての報告を関連企業に行なう必要がある.
事故対応責任者は, JPCERT, IPAなどの公的機関への事故の報告が妥当と考えられる場合に, 公的機関へ事故を報告してもよい.
事故対応責任者は, レベル3の事故の場合, 事故情報を公開しなければならない.