セキュリティコントロール評価🔗
重要
上記のサービスは、IMRの見積もりが2022年3月31日以前に行われ、かつその見積もりから90日以内にIMRの取引文書を締結したお客様のみご利用いただけます。 本サービスを選択することにより、お客様は、Secureworksとの契約に別段の定めがある場合でも、SecureworksがこれらのサービスをInsight Direct USA, Inc.に再委託することができること、ただしSecureworksは自らの行為または不作為について責任を負うのと同程度に、サービスの遂行について引き続き責任を負うことを認め、同意したものとみなされます。
サービス概要🔗
Secureworksは、対象となるフレームワークに関連するお客様のセキュリティコントロールを評価します。フレームワークの一覧については、下記の表をご参照ください。
サービス手法🔗
評価プロセスは、初回ミーティング、評価、締めくくりのアクティビティの3つの要素で構成されます。
初回ミーティング
Secureworksはお客様に連絡し、初回ミーティングの日程を調整します。このミーティングはテレカンファレンスを通じてリモートで実施されます。お客様は作業範囲記述書(Statement of Work)の確認、評価のスケジューリング、以下の事項について議論します。
- セキュリティコントロール評価の目標と目的
- 役割と責任
- スコープの定義
- プロジェクトのスケジュールとマイルストーン
- レポート要件
- お客様の担当分野専門家(SME)および連絡窓口(POC)
- ドキュメントリストのリクエスト
- 評価のためのロジスティクス
評価
予定された期間中、Secureworksはお客様のチームメンバー(例:セキュリティコントロールの文書化や実行に関与するメンバー)とテレカンファレンスを通じてリモートでインタビューを実施し、組織のセキュリティコントロール評価に関連するその他の活動も行います。対象範囲のポリシー、標準、ガイドライン、手順、その他のドキュメントが評価されます。
締めくくりのアクティビティ
- お客様が提供したドキュメントを、業界のセキュリティベストプラクティスに照らして分析
- セキュリティコントロールにおける技術的、運用的、戦略的な改善点の特定と検証
- 必要に応じて、お客様のSMEとテレカンファレンスを通じて追加の議論や活動を実施
- 最終レポートの作成(業界のセキュリティベストプラクティスに関連したお客様のセキュリティコントロールおよびドキュメントの分析、改善のための推奨事項、その他の情報を含む)
- 最終レポートをお客様のPOCに送付
成果物🔗
お客様は、セキュリティコントロールおよび関連ドキュメントの分析、改善のための推奨事項を含むレポートを受け取ります。
スコープおよびサービスユニット🔗
各セキュリティコントロール評価は、テレカンファレンスを通じてリモートで実施されます。
| スコープ | 説明 | サービスユニット |
|---|---|---|
| CIS Top 20 | テレカンファレンスを通じてリモートで評価を実施 | 12 オンサイト訪問は1拠点につき5サービスユニットで追加可能 |
| NIST 800-171, HIPAA | テレカンファレンスを通じてリモートで評価を実施 | 16 オンサイト訪問は1拠点につき5サービスユニットで追加可能 |
| NIST 800-53, PCI | テレカンファレンスを通じてリモートで評価を実施 | 24 オンサイト訪問は1拠点につき5サービスユニットで追加可能 |
スケジューリングおよび予約情報🔗
本サービスのスケジューリングに関する情報は、サービススケジューリングをご参照ください。