オラクルのコーポレート・セキュリティ・ プログラム・ガバナンス

目的

オラクルのコーポレート・セキュリティ・プログラムは、以下を含むオラクルおよびお客様の情報資産を保護することを目的としています。

  • クラウド、テクニカルサポート、その他のサービスを通じてお客様が利用するミッションクリティカルなシステム
  • オラクルのソースコードやその他の機密データを盗難や悪意ある改ざんから保護
  • オラクルのビジネス運営を通じて収集される個人情報およびその他の機密情報(オラクルの社内ITシステムに保存されているお客様、パートナー、サプライヤー、従業員に関する情報を含む)

業界標準および認証

オラクルのセキュリティポリシーは、オラクルの社内業務およびオラクルが提供するサービスの両方におけるセキュリティ管理を対象としており、社員や契約社員などすべてのオラクル従業員に適用されます。これらのポリシーは、ISO/IEC 27001:2022(旧称 ISO/IEC 17799:2005)および ISO/IEC 27002:2022 の規格に準拠しており、オラクル内のセキュリティに関するあらゆる側面の指針となっています。

国際標準化機構(ISO)、米国国立標準技術研究所(NIST)、その他業界の推奨ガイドラインに沿ったセキュリティ標準に基づき、オラクルは情報資産を保護するため、予防的、検知的、是正的な多種多様なセキュリティ管理策を導入しています。

Cloudコンプライアンス・ダッシュボードの詳細をご覧ください。

各事業部門のセキュリティ組織

各事業部門(LoB)にはセキュリティチームが設置されており、オラクルのチーフセキュリティオフィス(CSO)の指導のもと、その部門が管理する製品、システム、クラウドサービスのセキュリティ監督を行っています。LoBは、オラクルの情報セキュリティポリシーに基づいた技術標準を定義し、自組織およびクラウドサービスチーム内でポリシーおよび標準への準拠を推進する責任を負います。また、LoBは、コーポレート・セキュリティ・プログラムの要件および指示に従う必要があります。本資料では、各事業部門(LoB)の具体的なセキュリティ組織、基準、およびプログラムについては説明しておりません。

組織全体のセキュリティ

オラクルにおける組織全体のセキュリティについては、「オラクル セキュリティ組織ポリシー」および「オラクル 情報セキュリティポリシー」に記載されています。

コーポレート・セキュリティ・チームとプログラムは、企業全体のポリシーを定義し、事業部門(LoB)のセキュリティチームに対し、その組織が管理する製品、システム、クラウドサービスに関するグローバルな指針を提供します。

Oracle Security Oversight Committee

オラクルのセキュリティ監督委員会(OSOC)は、年に一度開催され、セキュリティ施策および戦略に関する議論や審査を行います。この委員会は、事業部門のエグゼクティブとコーポレート・セキュリティ組織を結びつけ、グローバルなオラクル組織全体でセキュリティ戦略を共有する機会を提供します。

コーポレート・セキュリティ組織

プライバシー&セキュリティ法務(P&SL)は、データプライバシーやセキュリティに関する事項について、オラクルのセキュリティ組織に法的アドバイスを提供する役割を担っています。これには、セキュリティイベントやセキュリティインシデント対応、データ保護法への準拠、契約上の義務や報告要件への対応などが含まれます。また、必要に応じて他のオラクルの法務チームと連携も行います。

オラクルの情報技術組織

オラクルの情報技術(IT)組織およびクラウドDevOps組織は、次のような責任を担っています。ITセキュリティ戦略の策定、セキュリティソリューションのアーキテクチャ設計、エンジニアリング、リスク管理、セキュリティインフラの運用とサポート、標準やコンプライアンスの管理、脅威情報と対応策の実施、新たなインフラに対するセキュリティ技術評価などです。

詳細