情報および資産の分類
概要
オラクルの正式な情報保護ポリシーでは、公開情報および機密情報の分類および取り扱いに関する要件が定められています。
オラクルでは、情報をPublic、Oracle Internal、Oracle Restricted、Oracle Highly Restrictedの4つの分類に分けており、それぞれの分類に応じたセキュリティ制御(非公開情報に対する暗号化要件など)が求められます。
- 「Public(公開)」:機密性はなく、オラクルにとって秘密情報とはみなされない情報。
- 「Oracle Internal(社内限定)」:オラクルにおいて機密として扱われるべき情報。
- 「Oracle Restricted(制限情報)」および「Oracle Highly Restricted(高度制限情報)」:どちらもオラクル内で機密として扱われ、「知る必要のある者」に限定してアクセスが許可されます。特に「Oracle Highly Restricted」情報には、さらに厳格な取り扱い要件が適用されます。
トレーニングと意識向上
オラクルでは、全従業員に対して情報保護ポリシーに関する必須トレーニングを実施しています。このトレーニングの一環として、情報資産の分類や取り扱い要件についての理解度を確認するテストも実施しています。従業員は入社時にこのトレーニングを受講し、その後も定期的に再受講する必要があります。トレーニングの受講状況はレポートで確認でき、管理職は自組織の受講状況を追跡することができます。
データ管理と保持
オラクルでは、データの保持に関して正式な要件を定めています。これらの運用ポリシーでは、データの種類やカテゴリごとに保持に関する要件が定義されており、各部門ごとの記録の具体例も含まれています。
システムインベントリ
正確なシステムインベントリを作成・維持することは、情報システムの全般的な管理や運用セキュリティにとって必要不可欠な要素です。オラクルの情報システム資産インベントリポリシーでは、各事業部門(Line of Business:LoB)に対し、情報システム、ハードウェア、ソフトウェアの正確かつ包括的なインベントリを維持することを求めています。このポリシーは、エンタープライズシステムやクラウドサービスを含む、すべてのオラクルシステム上に保有される情報資産に適用されます。
オラクルのポリシーでは、承認されたインベントリシステム上で管理すべき情報(またはフィールド)についても定められています。必要とされる技術情報および業務情報は、以下のカテゴリに分類されます。
- 製造元、モデル番号、機器、システム、デバイスのシリアル番号などのハードウェアの詳細
- データセンターや施設の物理的な所在地、およびその建物内での設置場所
- アプリケーションおよびそのバージョンなどのソフトウェア情報
- 情報資産の分類
- 組織における所有権