1. 概要
1.1. はじめに
クラウドコンピューティングの急速な成長に伴い、金融機関などの企業が IT インフラストラクチャをクラウドに移行することを選択するケースが増えています。クラウドにおけるセキュリティコンプライアンスは、企業がクラウドへの移行を選択する際の重要な考慮事項となっています。
セキュリティ仕様とクラウド構成の詳細の複雑さから、企業がコンプライアンスの内容に従ってクラウド上に包括的に安全でコンプライアンスに準拠した環境をセットアップすることは困難です。Cloud Security Alliance が 2021 年 9 月に発行した「The State of Cloud Security Risk, Compliance, and Misconfigurations」によると、調査対象企業の 60% 以上が、ネットワークセキュリティインシデントの主な原因は、クラウドセキュリティとコンプライアンスに関する知識と専門知識の不足であると考えています。したがって、「セキュリティコンプライアンスコンサルティングおよび実装サービス」を通じて、さまざまなタイプの企業が安全でコンプライアンスに準拠したクラウド環境を構築し、クラウドセキュリティへの信頼を高めることを支援したいと考えています。
これらのサービスは、国際的なセキュリティコンプライアンスコンサルティングサービスの要件に基づいて、お客様に対応するコンサルティングおよび実装サービスを提供します。
Alibaba Cloud 国際セキュリティコンプライアンスコンサルティングおよび実装サービスは、6 つのサブサービスで構成されています。お客様はビジネス要件に基づいてサービスを購入できます。
Alibaba Cloud 国際セキュリティコンプライアンスコンサルティングおよび実装サービス(必須。次の 2 つのサービスパッケージのいずれかを選択します。)
コンサルティングサービスパッケージ
コンサルティングおよび実装サービスパッケージ
上記の 2 つのサービスパッケージ(コンサルティングサービスパッケージとコンサルティングおよび実装サービスパッケージ)は、規制要件に記載されているコントロールポイントの数に基づいて、簡易版、標準版、および高度版にさらに細分されます。
この作業明細書(SOW)に定義されていない作業またはソリューションは、このプロジェクトの範囲から除外されます。
2. サービス範囲
以下のサービス範囲は、Alibaba Cloud 国際セキュリティコンプライアンスコンサルティングサービスパッケージと国際セキュリティコンプライアンスコンサルティングおよび実装サービスパッケージの 2 つのカテゴリに分類されます。さらに、上記の 2 つのサービスパッケージ(コンサルティングサービスパッケージとコンサルティングおよび実装サービスパッケージ)は、規制要件に記載されているコントロールポイントの数に基づいて、簡易版、標準版、および高度版にさらに細分されます。これらのサービスは、さまざまな種類のお客様のさまざまな要件を満たすように提供できます。
3. 前提条件
お客様は、注文を行う少なくとも 15 営業日前までにサービスリクエストを送信する必要があります。これにより、Alibaba Cloud はお客様のビジネス目標を評価し、スケジュールの実現可能性を確認して、サービスリクエストを受け入れるかどうかを判断できます。
お客様が大量のリソースを必要とする場合は、1 か月前までにサービスリクエストを送信する必要があります。これにより、Alibaba Cloud はサプライヤと連絡を取り、リクエストされたリソースが利用可能かどうかを確認できます。
お客様は、必要なすべてのドキュメント、情報、データ、図、システム [権限]、およびリモートアクセスチャネルを Alibaba Cloud に適時に提供する必要があります。このような情報はすべて、この作業明細書に添付されている機密保持条項の対象となります。お客様は、Alibaba Cloud に開示された、または開示される予定のすべての情報が真実かつ正確であり、誤解を招くものではないことを保証する必要があります。
国際セキュリティコンプライアンスコンサルティングサービスパッケージと国際セキュリティコンプライアンスコンサルティングおよび実装サービスパッケージの場合、Alibaba Cloud の事業所所在地はプロジェクトによって制限されず、サービスは主に電話、DingTalk、メールなどを介して提供されます。
国際セキュリティコンプライアンスコンサルティングサービスパッケージと国際セキュリティコンプライアンスコンサルティングおよび実装サービスパッケージのサービス内容には、クラウド上のお客様のアプリケーションは含まれません。
プロジェクトの提供プロセスでは、Alibaba Cloud が IT ガバナンスソリューションを設計し、技術検証中に発生する問題のトラブルシューティングを行い、お客様は Alibaba Cloud が設計したソリューションを実装します。
Alibaba Cloud は、中国の祝日を除き、月曜日から金曜日までの 09:00 ~ 18:00(UTC + 08:00)にサービスを提供します。
お客様と Alibaba Cloud が指定したプロジェクトマネージャーは、相互に合意した通信方法を使用して、プロジェクトに必要な書面による情報を転送する必要があります。利用可能な通信方法には、DingTalk、FAX、メールなどがあります。
すべてのプロジェクト成果物は中国語または英語で作成され、作業言語は中国語または英語です。すべての成果物は、PowerPoint、Word、Excel、Visio などの Microsoft Office [フォーマット] で電子コピーとして提出されます。
お客様と Alibaba Cloud は、事前に両当事者で合意した作業計画、人員配置計画、開始日と終了日に従ってプロジェクトに取り組む必要があります。Alibaba Cloud は、お客様の業務システムの立ち上げの遅延によって引き起こされたプロジェクトの遅延については責任を負いません。
お客様または Alibaba Cloud が第三者を導入する必要がある場合、お客様または Alibaba Cloud は第三者との契約締結について責任を負います。Alibaba Cloud は、お客様の下請業者またはベンダーによって実行された行為または引き起こされた遅延について責任を負いません。お客様は、Alibaba Cloud の下請業者またはベンダーによって引き起こされた行為または遅延について責任を負いません。
いずれの当事者も、たとえそのような損害の可能性について通知されていたとしても、本契約に基づく特別な、偶発的な、または間接的な損害、あるいは結果的な経済的損害(利益または割引の損失を含む)について責任を負いません。
4. 責任分担
4.1. お客様と Alibaba Cloud
お客様が国際セキュリティコンプライアンスコンサルティングおよび実装サービス(コンサルティングサービスパッケージ + コンサルティングおよび実装サービスパッケージ)を購入した後、Alibaba Cloud はレビューとコミュニケーションの後、サービスの確立を確認します。
お客様と Alibaba Cloud は交渉を行い、国際セキュリティコンプライアンスコンサルティングおよび実装サービスのビジネス目標とサービス範囲を確認します。
次の表に責任分担を示します。
サービス | フェーズ | タスクの詳細 | お客様 | Alibaba Cloud |
|---|---|---|---|---|
Alibaba Cloud 国際セキュリティコンプライアンスコンサルティングおよび実装サービス | 現状調査 | リモート情報収集とオンサイトコミュニケーションを通じて、Alibaba Cloud は、使用されているプロダクトとサービスを含め、お客様の Alibaba Cloud での現在のビジネス状況を理解し、お客様が満たすべきセキュリティコンプライアンス要件と標準を決定します。Alibaba Cloud は、企業が所在する国や地域、業界やセキュリティリスクなどの要因に基づいて、お客様の既存環境と対応する要件とのギャップを最初に特定します。 | A/S/C/I | R/I |
コンプライアンス要件の解釈 | 初期のコミュニケーションプロセスで、アクセス方法や操作レコードのコンプライアンス要件を満たす方法など、満たすべきセキュリティコンプライアンス要件についてお客様が質問がある場合、Alibaba Cloud のセキュリティコンプライアンスチームは、コンプライアンスソリューションについて 1 つずつ回答と説明を行い、お客様が対応するセキュリティコンプライアンス標準を理解できるように支援します。 | A/S/C/I | R/I | |
ソリューション設計 | お客様のクラウド使用の現状と対応するセキュリティコンプライアンス要件とのギャップに基づき、クラウド使用量、コスト、自社開発プロダクトの有無などの要因を考慮して、Alibaba Cloud は、お客様のビジネスのスケーラビリティと持続可能性を考慮しながら、お客様のクラウド上のセキュリティコンプライアンス要件を満たす一連のソリューションを設計します。 | A/S/C/I | R/I | |
技術検証 | ソリューション設計の完了後、Alibaba Cloud は、ソリューションがクラウド上の現在の業務システムの構成と競合するかどうか、ソリューションがオンサイト IDC 業務システムと競合するかどうか、ソリューションがセキュリティプロダクトの適応性と IT インフラストラクチャの可用性に影響を与えるかどうかなど、さまざまな側面について技術検証を実施し、ソリューションの実現可能性と実装可能性を確保します。 | A/S/C/I | R/S/C/I | |
ソリューション実装 | お客様が実装サービスを購入した場合、Alibaba Cloud はソリューションの構成と実装をお客様に支援し、関連構成の変更内容と操作時間を確認し、操作がオンライン業務システムに悪影響を与えないようにします。ソリューションの実装を遅らせる必要がある場合、Alibaba Cloud は必要なデプロイメントのデモとドキュメントを提供します。 | A/S/C/I | R/S/C/I | |
デリバリーテスト | Alibaba Cloud は、ソリューションのデプロイメント環境と構成を確認し、環境検査とレビューを完了し、ソリューション実装の効果がお客様の期待に沿うものであることを確認し、クラウドシステムが実際に関連するセキュリティコンプライアンス要件を満たすようにします。 | A/S/C/I | R/S/C/I |
注:R は責任者、A は説明責任者、C は相談相手、I は通知相手、S はサポートを意味します
4.1.1. お客様
お客様は、必要な専門知識と経験を持つプロジェクトマネージャーを任命して、Alibaba Cloud と連絡を取る必要があります。プロジェクトマネージャーは、プロジェクトのあらゆる側面についてお客様に代わって意思決定を行う完全な[権限]を持ち、プロジェクト実装の計画、調整、監督、および管理を直接担当します。また、プロジェクトマネージャーは、プロジェクト実装中に発生する問題のトラブルシューティングと解決についても責任を負います。
プロジェクトの状況に基づいて、お客様のプロジェクトマネージャーは、すべての関係者のリソースを調整して、国際セキュリティコンプライアンスコンサルティングおよび実装サービスの調査と技術検証を主導します。
プロジェクトの開始時に、お客様は国際セキュリティコンプライアンスコンサルティングおよび実装サービスのガバナンスに関連する社内資料と仕様ドキュメントを提供し、実装要件を明確に示す必要があります。
4.1.2. Alibaba Cloud
Alibaba Cloud は、経験豊富なテクニカルマネージャーを任命して、国際セキュリティコンプライアンスコンサルティングおよび実装サービスのプロジェクト管理を実施し、Alibaba Cloud のプロジェクトチームの担当者を紹介します。また、お客様のプロジェクトマネージャーと連絡を取ります。
現状調査を通じて、Alibaba Cloud は、お客様システムの基本アーキテクチャ、ビジネスアプリケーションシナリオ、国際セキュリティコンプライアンスコンサルティングおよび実装サービスの使用状況、およびその他の情報を評価のために理解します。
Alibaba Cloud は、現状調査に基づいて国際セキュリティコンプライアンスコンサルティングおよび実装サービスのソリューションを設計し、お客様が国際セキュリティコンプライアンスコンサルティングサービスの要件と標準を理解できるように支援します。
Alibaba Cloud はお客様と協力して、国際セキュリティコンプライアンスコンサルティングおよび実装サービスのソリューションの技術検証を実施し、技術検証のプロセスで発生するさまざまな問題の解決を支援します。
Alibaba Cloud はお客様と協力して既存の問題を発見し、構成変更の影響の分析を支援し、問題解決のための提案を提供します。
提供前に、Alibaba Cloud は国際セキュリティコンプライアンスコンサルティングサービスのテストを実施し、対応する問題解決のための提案を提供します。
4.1.3. 完了基準
Alibaba Cloud 国際セキュリティコンプライアンスコンサルティングサービスパッケージの完了基準
Alibaba Cloud 国際セキュリティコンプライアンスコンサルティングサービスのソリューション設計が完了し、お客様によって確認される必要があります。対応するソリューション設計とソリューションの技術検証が含まれている必要があります。
成果物
「国際セキュリティコンプライアンスコンサルティングサービスの設計ソリューション」
Alibaba Cloud 国際セキュリティコンプライアンスコンサルティングおよび実装サービスパッケージの完了基準
Alibaba Cloud 国際セキュリティコンプライアンスコンサルティングおよび実装サービスのソリューション設計が完了し、お客様によって確認される必要があります。対応するソリューション設計、ソリューションの技術検証、ソリューション実装、提供前テスト、および問題解決のための提案が含まれている必要があります。
成果物
「国際セキュリティコンプライアンスコンサルティングおよび実装サービスの設計ソリューション」
「国際セキュリティコンプライアンスコンサルティングおよび実装サービスの実装レポート」
「国際セキュリティコンプライアンスコンサルティングおよび実装サービスの受け入れレポート」
4.2. サービスタログ
サービス内容:国際セキュリティコンプライアンスコンサルティングサービスは、お客様のビジネス目標を達成するために、次のサービスで構成されています。
フェーズ名 | サービスタログ | 国際セキュリティ コンプライアンスコンサルティングサービスパッケージ | 国際セキュリティコンプライアンスコンサルティングおよび実装サービスパッケージ |
|---|---|---|---|
現状調査 | Alibaba Cloud のビジネスステータスと計画の調査 | サポート対象 | サポート対象 |
国際セキュリティコンプライアンスコンサルティングサービスのコンプライアンス要件の解釈 | サポート対象 | サポート対象 | |
ソリューション設計 | 国際セキュリティコンプライアンスコンサルティングサービスのソリューション設計 | サポート対象 | サポート対象 |
技術検証 | 国際セキュリティコンプライアンスコンサルティングサービスソリューションの技術検証 | サポート対象 | サポート対象 |
ソリューション実装 | 国際セキュリティコンプライアンスコンサルティングサービスソリューションの実装 | サポート対象 | |
デリバリーテスト | 国際セキュリティコンプライアンスコンサルティングサービスのデリバリーテスト | サポート対象 |
さらに、上記の 2 つのサービスパッケージ(コンサルティングサービスパッケージとコンサルティングおよび実装サービスパッケージ)は、規制要件に記載されているコントロールポイントの数に基づいて、簡易版、標準版、および高度版にさらに細分されます。
サービスタログ | 難易度 | コントロールポイントの数 |
|---|---|---|
国際セキュリティコンプライアンスコンサルティングサービスパッケージ | 簡易 | 10 ~ 30 |
標準 | 31 ~ 150 | |
高度 | 150 超 | |
国際セキュリティコンプライアンスコンサルティングおよび実装サービスパッケージ | 簡易 | 10 ~ 30 |
標準 | 31 ~ 150 | |
高度 | 150 超 |
5. SLA
国際セキュリティコンプライアンスコンサルティングサービスを提供します。
サービス期間中、お客様にセキュリティコンプライアンスソリューション、技術検証をサポートするための DingTalk [グループ]、および需要に基づくオンサイトサポートを提供します。
対応するサービス仕様に基づいて、「国際セキュリティコンプライアンスコンサルティングサービスの設計ソリューション」、「国際セキュリティコンプライアンスコンサルティングおよび実装サービスの設計ソリューション」、「国際セキュリティコンプライアンスコンサルティングおよび実装サービスの実装レポート」、および「国際セキュリティコンプライアンスコンサルティングおよび実装サービスの受け入れレポート」を提供します。
6. サービスプロセス
次のフローチャートは、Alibaba Cloud 国際セキュリティコンプライアンスコンサルティングおよび実装サービスのサービスプロセスを示しています。
7. 受け入れ基準
7.1.1. 成果物リスト
番号 | 提供フェーズ | 詳細 | 成果物 | 成果物タイプ |
|---|---|---|---|---|
1 | ソリューション設計フェーズ | コンプライアンス設計ソリューション | 「国際セキュリティコンプライアンスコンサルティングサービスの設計ソリューション」または「国際セキュリティコンプライアンスコンサルティングおよび実装サービスの設計ソリューション」 | ドキュメント |
2 | 実装フェーズ | ソリューション実装レポート | 「国際セキュリティコンプライアンスコンサルティングおよび実装サービスの実装レポート」 | ドキュメント |
3 | 受け入れフェーズ | ソリューション受け入れドキュメント | 「国際セキュリティコンプライアンスコンサルティングおよび実装サービスの受け入れレポート」 | ドキュメント |
7.2. 受け入れ基準
プロジェクトの提供プロセスでは、Alibaba Cloud は Alibaba Cloud 国際セキュリティコンプライアンスコンサルティングおよび実装サービスに関するコンサルティングサービスを提供し、重要な情報をドキュメントに記録します。受け入れフェーズでは、お客様はドキュメントの内容の質にフォーカスし、ドキュメントが要件を満たしていることを確認する必要があります。
Alibaba Cloud が成果物を提出する前に社内レビューが必要な場合、お客様は合意された受け入れ時間の前に社内レビューを実施して完了する必要があります。
レビュー後にドキュメントの内容を変更する必要がある場合、Alibaba Cloud は必要な変更を行い、変更されたドキュメントをお客様に提出して受け入れを求めます。お客様は担当者を任命して確認のために署名する必要があります。お客様は、Alibaba Cloud 管理コンソールのサービスシステムページにある[受け入れを確認] [ボタン]をクリックする必要があります。
国際セキュリティコンプライアンスコンサルティングサービスパッケージの受け入れ基準
「国際セキュリティコンプライアンスコンサルティングサービスの設計ソリューション」がお客様の期待に沿うものであること。
国際セキュリティコンプライアンスコンサルティングおよび実装サービスパッケージの受け入れ基準
「国際セキュリティコンプライアンスコンサルティングおよび実装サービスの設計ソリューション」がお客様の期待に沿うものであること。
「国際セキュリティコンプライアンスコンサルティングおよび実装サービスの実装レポート」がお客様の期待に沿うものであること。
「国際セキュリティコンプライアンスコンサルティングおよび実装サービスの受け入れレポート」がお客様の期待に沿うものであること。
7.3. 受け入れ計画
セクション 7.1 受け入れリストに記載されている各プロジェクトフェーズの成果物に従って、プロジェクトの受け入れは次の受け入れ計画に基づいて行われます。お客様は、これらの受け入れ計画に基づいて、Alibaba Cloud が提出した成果物を受け入れることに同意します。
国際セキュリティコンプライアンスコンサルティングサービスパッケージの受け入れ計画
番号 | 受け入れマイルストーン | 受け入れ内容 | 受け入れ完了 |
|---|---|---|---|
1 | 「国際セキュリティコンプライアンスコンサルティングサービスの設計ソリューション」の設計と検証が完了している。 | 「国際セキュリティコンプライアンスコンサルティングサービスの設計ソリューション」 | お客様がソリューションの受け入れを確認する。 |
国際セキュリティコンプライアンスコンサルティングおよび実装サービスパッケージの受け入れ計画
番号 | 受け入れマイルストーン | 受け入れ内容 | 受け入れ完了 |
|---|---|---|---|
1 | 「国際セキュリティコンプライアンスコンサルティングおよび実装サービスの設計ソリューション」の設計と検証が完了している。 | 「国際セキュリティコンプライアンスコンサルティングおよび実装サービスの設計ソリューション」 | お客様がソリューションの受け入れを確認する。 |
2 | 「国際セキュリティコンプライアンスコンサルティングおよび実装サービスの実装レポート」の検証が完了している。 | 「国際セキュリティコンプライアンスコンサルティングおよび実装サービスの実装レポート」 | お客様がソリューションの受け入れを確認する。 |
3 | 「国際セキュリティコンプライアンスコンサルティングおよび実装サービスの受け入れレポート」の検証が完了している。 | 「国際セキュリティコンプライアンスコンサルティングおよび実装サービスの受け入れレポート」 | お客様がソリューションの受け入れを確認する。 |
8. プロジェクト完了のマーク
プロジェクトは、お客様が受け入れを確認した後に完了します。