CiscoWorks Network Compliance Manager ユーザ ガイド 1.2
第 18 章: Compliance Center
第 18 章:Compliance Center
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

第 18 章:Compliance Center

次の表を使用すると、情報をすぐに見つけることができます。

 

トピック
参照先
はじめに
COBIT Compliance Status レポート
COSO Compliance Status レポート
ITIL Compliance Status レポート
GLBA Compliance Status レポート
HIPAA Compliance Status レポート
Visa CISP Compliance Status レポート
(注)Cisco Compliance Center は、提示されている規則と規格に関するシスコの見解に基づいています。シスコは監査役ではなく、また法的権限も持っていません。各企業の監査役または法的機関に相談して指導を受ける必要があります。

Compliance Center へのナビゲート

 

はじめに

Compliance Center は、サーベンス オクスリー法(Section 404)およびサポートする内部統制フレームワークに関して、ネットワーク インフラストラクチャの現在のコンプライアンス ステータスを判別する上で役に立つレポートおよび情報にアクセスするための、NCM のポータルです。

Public Company Accounting Reform and Investor Protection Act of 2002(一般に、サーベンス オクスリー法と呼ばれる)は、投資家に対する企業の開示情報の正確性および信頼性を向上することを目的としています。通常、サーベンス オクスリー法は、Securities and Exchange Commission(SEC; 証券取引委員会)に登録されているか、または SEC への報告が義務付けられているすべての米国企業に適用されます。この法令は、報告する企業の CEO および CFO に対して、その企業の SEC レポートの保証を義務付けています。

サーベンス オクスリー法の主要条項は Section 404 です。この条項は、財務報告に対する内部統制について明記しています。Section 404 は、報告する企業に対して、内部統制の報告と評価を財務報告の一部に含めることを義務付けています。サーベンス オクスリー法(Section 404)は、IT 関連のコンプライアンス措置については特定の統制要件を定めていません。したがって、組織は、COSO、COBIT、ITIL、または Visa CISP などの内部統制フレームワークを選択し、そのフレームワークに対する実施と報告を行う必要があります。NCM を使用したサーベンス オクスリー法(Section 404)コンプライアンスの管理に関する詳細については、Compliance Center Home ページに提示されているオンライン情報を参照してください。

Compliance Center Home ページにアクセスするには、Reports の下のメニューバーで Compliance Center をクリックします。Compliance Center Home ページが開きます。

Compliance Center Home ページ

オプション
説明/アクション
Sarbanes-Oxley (Section 404)
Sarbanes-Oxley (Section 404) Compliance Status 概要情報が表示されます。
COBIT Compliance Status リンク
COBIT Compliance Status レポートが開きます。詳細については、COBIT Compliance Status レポートを参照してください。
COSO Compliance Status リンク
COSO Compliance Status レポートが開きます。詳細については、COSO Compliance Status レポートを参照してください。
ITIL Compliance Status リンク
ITIL Compliance Status レポートが開きます。詳細については、ITIL Compliance Status レポートを参照してください。
GLBA Compliance Status リンク
GLBA Compliance Status レポートが開きます。詳細については、GLBA Compliance Status レポートを参照してください。
HIPAA Compliance Status リンク
HIPAA Compliance Status レポートが開きます。詳細については、HIPAA Compliance Status レポートを参照してください。
Visa CISP (PCI Data Security Standard) Compliance Status リンク
PCI Data Security Standard (Visa CISP) レポートが開きます。詳細については、Visa CISP (PCI Data Security Standard) Compliance Status レポートを参照してください。

COBIT Compliance Status レポート

Control Objectives for Information and related Technology(COBIT)は、IT およびそのプロセスに関するリスクとリターンのバランスを取りながら、ビジネス リスク、統制上のニーズ、技術的な問題という各要素の間のギャップを橋渡しすることによって、経営上のニーズに適合しやすくする内部統制フレームワークです。

NCM は、COBIT の定義に従って、内部統制システムを効率化するために次の 4 つの領域の実施を強化します。

  • Monitoring:NCM は、プロセスの監視、内部統制の妥当性評価、独立した保証を行い、独立した監査機能を備えています。
  • Delivery & Support:NCM は、サービス レベル、サードパーティのサービス、およびパフォーマンスとキャパシティの管理、継続したサービス システム セキュリティの確保、コストの特定と配分、ユーザへの教育とトレーニング、顧客への支援とアドバイス、および設定、データ、機能、操作の管理を行う上で役に立ちます。
  • Planning & Organization:NCM は、戦略的 IT プランの定義、技術動向の判断、IT 投資と人的資源の管理、経営目標と方針の共有、および外部要件に対するコンプライアンスの保証を行う上で役に立ちます。
  • Acquisition & Implementation:NCM は、自動化された解決方法の特定、テクノロジー インフラストラクチャの獲得と維持、処理手順の開発と維持、システムのインストールと認定、および変更の管理を行う上で役に立ちます。

COBIT の詳細、および NCM で COBIT の実施を強化する方法の詳細については、COBIT Status Compliance ページの「More information about COBIT and achieving compliance using CiscoWork Network Compliance Manager」リンクをクリックしてください。

COBIT Compliance Status レポートを表示するには、次の手順を実行します。

  1. Reports の下のメニューバーで、Compliance Center をクリックします。Compliance Center Home ページが開きます。
COBIT Compliance Status リンクをクリックします。COBIT Compliance Status ページが開きます。

COBIT Compliance Status ページのフィールド

 

フィールド
説明/アクション
MONITORING
M1 Monitor the processes
次の要素の数が表示されます。
  • スタートアップ コンフィギュレーションと実行コンフィギュレーションとが異なっているデバイス。Device List リンクをクリックすると、Device Search Results レポートが開きます。詳細については、 デバイス設定変更の表示を参照してください。
  • 非アクティブなデバイス。Inactive Devices リンクをクリックすると、Device Search Results ページが開きます。詳細については、 Inventory ページのフィールドを参照してください。
  • ACL。All ACLs リンクをクリックすると、ACLs Search Results ページが開きます。詳細については、 ACL の表示を参照してください。
  • 使用中の ACL。ACLs In Use リンクをクリックすると、ACLs Search Results ページが開きます。詳細については、 ACL の表示を参照してください。
  • 過去 7 日間に行われた ACL の変更。ACL Changes リンクをクリックすると、ACLs Search Results ページが開きます。詳細については、 ACL の表示を参照してください。
  • 過去 7 日間に承認された変更。Approved Changes リンクをクリックすると、Approved Changes Search Results ページが開きます。詳細については、 イベントの検索を参照してください。
M2 Assess internal control adequacy
次の要素の数が表示されます。
  • 適用されているワークフロー規則。Workflow Setup リンクをクリックすると、Workflow Wizard が開きます。詳細については、 Workflow Wizardを参照してください。
  • 適用されている設定ポリシー。Configuration Policies リンクをクリックすると、Policies ページが開きます。詳細については、 Policies ページのフィールドを参照してください。
  • 過去 7 日間に承認されなかった変更。Unapproved Changes リンクをクリックすると、Unapproved Changes Search Results ページが開きます。詳細については、 イベントの検索を参照してください。
  • コメントを含む ACL。ACLs With Comments リンクをクリックすると、ACLs Search Results ページが開きます。詳細については、 ACL コメントの作成と ACL ハンドルの作成を参照してください。
M3 Obtain independent assurance
次の要素の数が表示されます。
  • 「okay」ステータスを表示しているモニタ。System Status リンクをクリックすると、System Status レポートが開きます。詳細については、 System Status ページのフィールドを参照してください。
  • ソフトウェア コンプライアンスに適合しているデバイス。Device Software Report リンクをクリックすると、Software Compliance Search Results ページが開きます。詳細については、 Device Software レポートのフィールドを参照してください。
  • 過去 24 時間に設定ポリシーに違反したイベント。Configuration
    Policy Events (24 hours) リンクをクリックすると、Configure Policy Activity ページが開きます。詳細については、 Configuration Policy Activity ページのフィールドを参照してください。
  • 過去 7 日間に設定ポリシーに違反したイベント。Configuration Policy Events (7 days) リンクをクリックすると、Configure Policy Activity ページが開きます。詳細については、 Configuration Policy Activity ページのフィールドを参照してください。
  • 設定管理の「Best Practices」における緑色(しきい値内)のステータス。Network Status Report リンクをクリックすると、Network Status レポートが開きます。詳細については、 Network Status レポートのフィールドを参照してください。
M4 Provide for independent audit
次の要素の数が表示されます。
  • アクセス可能なユーザ レポート。User & System Reports リンクをクリックすると、User & System Reports ページが開きます。詳細については、 User & System レポートを参照してください。
  • アクセス可能なシステム レポート。User & System Reports リンクをクリックすると、User & System レポートが開きます。詳細については、 User & System レポートを参照してください。
DELIVERY & SUPPORT
DS1 Define and manage service levels
次の要素の数が表示されます。
  • 設定管理の「Best Practices」における緑色(しきい値内)のステータス。Network Status Report リンクをクリックすると、Network Status レポートが開きます。詳細については、 Network Status レポートのフィールドを参照してください。
  • 1 日あたりの変更の平均(過去 7 日間)。Summary Reports リンクをクリックすると、Summary レポートが開きます。詳細については、 Summary レポートの説明を参照してください。
  • 1 日あたりの変更の平均(過去 30 日間)。Summary Reports リンクをクリックすると、Summary レポートが開きます。詳細については、 Summary レポートの説明を参照してください。
D22 Manage third-party services
次の要素の数が表示されます。
  • アクセス障害が発生したデバイス。Inaccessible Devices リンクをクリックすると、Device Search Results ページが開きます。詳細については、 Inventory ページのフィールドを参照してください。
  • スタートアップ コンフィギュレーションと実行コンフィギュレーションとが異なっているデバイス。Devices List リンクをクリックすると、Device Search Results ページが開きます。詳細については、 Inventory ページのフィールドを参照してください。
  • 非アクティブなデバイス。Inactive Devices リンクをクリックすると、Device Search Results ページが開きます。詳細については、 Inventory ページのフィールドを参照してください。
DS3 Manage performance and capacity
ポートのアベイラビリティが 10% 未満であるデバイスの数が表示されます。Port Availability リンクをクリックすると、Device Search Results ページが開きます。詳細については、 Inventory ページのフィールドを参照してください。
DS4 Ensure continuous service
次の要素の数が表示されます。
  • 過去 24 時間に実行された診断。Diagnostics (24 hours) リンクをクリックすると、Diagnostic Search Results ページが開きます。詳細については、 診断を参照してください。
  • 過去 7 日間に実行された診断。Diagnostics (7 days) リンクをクリックすると、Diagnostic Search Results ページが開きます。詳細については、 診断を参照してください。
DS5 Ensure systems security
次の要素の数が表示されます。
  • 特定のデバイス セットに制限されているユーザ。User List リンクをクリックすると、User Search Results ページが開きます。詳細については、 All Users ページのフィールドを参照してください。
  • Administrator アクセス権が割り当てられているユーザ。User List リンクをクリックすると、User Search Results ページが開きます。詳細については、 All Users ページのフィールドを参照してください。
  • 適用されているデバイス パスワード規則。Device Password Rules リンクをクリックすると、Device Password Rules List ページが開きます。詳細については、 Device Password Rules ページのフィールドを参照してください。
  • ACL。All ACLs リンクをクリックすると、ACLs Search Results ページが開きます。詳細については、 ACL の表示を参照してください。
  • 使用中の ACL。ACLs In Use リンクをクリックすると、ACLs Search Results ページが開きます。詳細については、 ACL の表示を参照してください。
  • 過去 7 日間に行われた ACL の変更。ACL Changes リンクをクリックすると、ACLs Search Results ページが開きます。詳細については、 ACL の表示を参照してください。
DS6 Identify and allocate costs
次の要素の数が表示されます。
  • インベントリに含まれているデバイス。Device List リンクをクリックすると、Inventory ページが開きます。詳細については、 デバイスの追加を参照してください。
  • インベントリに含まれているモジュール。Module リンクをクリックすると、Module Search Results ページが開きます。詳細については、 Device Blades/Modules ページのフィールドを参照してください。
DS7 Educate and train users
次のマニュアルへのリンクが表示されます。
  • Network Compliance Manager ユーザ ガイド 1.2
  • デバイス ドライバ リファレンス
  • リリース ノート
DS8 Assist and advice customers
次のリンクが表示されます。
  • Download driver update packages
  • View latest Release Notes
  • View license Information
  • Create a Technical Support ticket
  • Email Customer Support
  • Request new driver support
DS9 Manage the configuration
次の要素の数が表示されます。
  • 過去 7 日間に検出された設定変更。Configuration Changes リンクをクリックすると、Config Search Results ページが開きます。詳細については、 Device Configuration Detail ページのフィールドを参照してください。
  • 格納されているアクティブなデバイス設定。Active Configurations リンクをクリックすると、Config Search Results ページが開きます。詳細については、 Device Configuration Detail ページのフィールドを参照してください。
  • 承認が保留状態になっている変更。Changes Pending Approval リンクをクリックすると、Changes Pending Search Results ページが開きます。詳細については、 イベントの検索を参照してください。
  • 過去 7 日間に承認された変更。Approved Changes リンクをクリックすると、Approved Changes Search Results ページが開きます。詳細については、 イベントの検索を参照してください。
  • 過去 7 日間に承認されなかった変更。Unapproved Changes リンクをクリックすると、Unapproved Changes Search Results ページが開きます。詳細については、 イベントの検索を参照してください。
DS10 Manage problems and incidents
次の要素の数が表示されます。
  • 過去 24 時間に検出された設定変更。Dashboard リンクをクリックすると、Home ページが開きます。詳細については、 My Homepage のフィールドを参照してください。
  • 過去 24 時間に発生した NCM イベント。Dashboard リンクをクリックすると、Home ページが開きます。詳細については、 My Homepage のフィールドを参照してください。
DS11 Manage data
格納されているアクティブなデバイス設定の数が表示されます。Active Configuration リンクをクリックすると、Config Search Results ページが開きます。詳細については、 Device Configuration Detail ページのフィールドを参照してください。
DS12 Manage facilities
次の要素の数が表示されます。
  • インベントリに含まれているデバイス。Device List リンクをクリックすると、Device Details ページが開きます。詳細については、 デバイスの表示を参照してください。
  • インベントリに含まれているモジュール。Modules リンクをクリックすると、Module Search Results ページが開きます。詳細については、 Device Blades/Modules ページのフィールドを参照してください。
DS13 Manage operations
次の要素の数が表示されます。
  • 次の 24 時間に実行するようにスケジュールされたデバイス変更タスク。Pending Tasks (24 hours) リンクをクリックすると、Task Search Results ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • 次の 7 日間に実行するようにスケジュールされたデバイス変更タスク。Pending Tasks (7 days) リンクをクリックすると、Task Search Results ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • 次の 24 時間に実行するようにスケジュールされたソフトウェア展開。Pending Deployments (24 hours) リンクをクリックすると、Task Search Results ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • 次の 7 日間に実行するようにスケジュールされたソフトウェア展開。Pending Deployments (7 days) リンクをクリックすると、Task Search Results ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • 承認が保留状態になっている変更。Changes Pending Approval リンクをクリックすると、Changes Pending Search Results ページが開きます。詳細については、 イベントの検索を参照してください。
PLANNING & ORGANIZATION
PO1 Define a strategic IP plan
次の要素の数が表示されます。
  • インベントリに含まれているデバイス。Device List リンクをクリックすると、Device Details ページが開きます。詳細については、 デバイスの表示を参照してください。
  • インベントリに含まれているモジュール。Modules リンクをクリックすると、Module Search Results ページが開きます。詳細については、 Device Blades/Modules ページのフィールドを参照してください。
  • ポートのアベイラビリティが 10% 未満であるデバイスの数が表示されます。Port Availability リンクをクリックすると、Device Search Results ページが開きます。詳細については、 Inventory ページのフィールドを参照してください。
PO2 Define the information architecture
次の要素の数が表示されます。
  • インベントリに含まれているデバイス。Device List リンクをクリックすると、Inventory ページが開きます。詳細については、 デバイスの追加を参照してください。
  • インベントリに含まれているモジュール。Modules リンクをクリックすると、Module Search Results ページが開きます。詳細については、 Device Blades/Modules ページのフィールドを参照してください。
  • 格納されているアクティブな設定。Active Configurations リンクをクリックすると、Config Search Results ページが開きます。詳細については、 Device Configuration Detail ページのフィールドを参照してください。
PO3 Determine the technological direction
ベンダーの総数に基づいて、インベントリ内のデバイスの数が表示されます。Device List by Vendors リンクをクリックすると、Inventory ページが開きます。詳細については、 デバイスの追加を参照してください。
PO4 Define the IT organization and relationships
次の要素の数が表示されます。
  • 特定のデバイス セットに制限されているユーザ。User List リンクをクリックすると、User Search Results ページが開きます。詳細については、 All Users ページのフィールドを参照してください。
  • Administrator アクセス権が割り当てられているユーザ。User List リンクをクリックすると、User Search Results ページが開きます。詳細については、 All Users ページのフィールドを参照してください。
  • 適用されているデバイス パスワード規則。Device Password Rules リンクをクリックすると、Device Password Rules List ページが開きます。詳細については、 Device Password Rules ページのフィールドを参照してください。
PO5 Manage the IT investment
次の要素の数が表示されます。
  • 「okay」ステータスを表示しているモニタ。System Status リンクをクリックすると、System Status レポートが開きます。詳細については、 System Status ページのフィールドを参照してください。
  • インベントリに含まれているデバイス。Device List リンクをクリックすると、Inventory ページが開きます。詳細については、 デバイスの追加を参照してください。
  • インベントリに含まれているモジュール。Modules リンクをクリックすると、Module Search Results ページが開きます。詳細については、 Device Blades/Modules ページのフィールドを参照してください。
PO6 Communicate management aims and directions
次の要素の数が表示されます。
  • 設定管理の「Best Practices」における緑色(しきい値内)のステータス。Network Status Report リンクをクリックすると、Network Status レポートが開きます。詳細については、 Network Status レポートのフィールドを参照してください。
  • アクティブな設定ポリシー。Configurations Policies リンクをクリックすると、Config Search Results ページが開きます。詳細については、 Device Configuration Detail ページのフィールドを参照してください。
PO7 Manage human resources
次の要素の数が表示されます。
  • 特定のデバイス セットに制限されているユーザ。User List リンクをクリックすると、User Search Results ページが開きます。詳細については、 All Users ページのフィールドを参照してください。
  • Administrator アクセス権が割り当てられているユーザ。User List リンクをクリックすると、User Search Results ページが開きます。詳細については、 All Users ページのフィールドを参照してください。
  • 適用されているデバイス パスワード規則。Device Password Rules リンクをクリックすると、Device Password Rules List ページが開きます。詳細については、 Device Password Rules ページのフィールドを参照してください。
PO8 Ensure compliance with external requirements
アクティブな設定ポリシーの数が表示されます。Configurations Policies リンクをクリックすると、Config Search Results ページが開きます。詳細については、 Device Configuration Detail ページのフィールドを参照してください。Compliance Center リンクをクリックすると、Compliance Center Home ページが開きます。詳細については、Compliance Center Home ページを参照してください。
PO9 Assess risks
次の要素の数が表示されます。
  • 設定管理の「Best Practices」における緑色(しきい値内)のステータス。Network Status Report リンクをクリックすると、Network Status レポートが開きます。詳細については、 Network Status レポートのフィールドを参照してください。
  • アクセス障害が発生したデバイス。Inaccessible Devices リンクをクリックすると、Device Search Results ページが開きます。詳細については、 Inventory ページのフィールドを参照してください。
  • ポートのアベイラビリティが 10% 未満であるデバイスの数が表示されます。Port Availability リンクをクリックすると、Device Search Results ページが開きます。詳細については、 Inventory ページのフィールドを参照してください。
PO10 Manage projects
次の要素の数が表示されます。
  • 次の 24 時間に実行するようにスケジュールされたデバイス変更タスク。Pending Tasks (24 hours) リンクをクリックすると、Task Search Results ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • 次の 7 日間に実行するようにスケジュールされたデバイス変更タスク。Pending Tasks (7 days) リンクをクリックすると、Task Search Results ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • 次の 24 時間に実行するようにスケジュールされたソフトウェア展開。Pending Deployments (24 hours) リンクをクリックすると、Task Search Results ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • 次の 7 日間に実行するようにスケジュールされたソフトウェア展開。Pending Deployments (7 days) リンクをクリックすると、Task Search Results ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
PO11 Manage quality
次の要素の数が表示されます。
  • 「okay」ステータスを表示しているモニタ。System Status リンクをクリックすると、System Status レポートが開きます。詳細については、 Server Monitoring ページのフィールドを参照してください。
  • ソフトウェア コンプライアンスに適合しているデバイス。Device Software Report リンクをクリックすると、Software Compliance Search Results ページが開きます。詳細については、 Device Software レポートのフィールドを参照してください。
  • 過去 24 時間に設定ポリシーに違反したイベント。Configuration Policy Events (24 hours) リンクをクリックすると、Configure Policy Activity ページが開きます。詳細については、 Configuration Policy Activity ページのフィールドを参照してください。
  • 過去 7 日間に設定ポリシーに違反したイベント。Configuration Policy Events (7 days) リンクをクリックすると、Configure Policy Activity ページが開きます。詳細については、 Configuration Policy Activity ページのフィールドを参照してください。
  • 設定管理の「Best Practices」における緑色(しきい値内)のステータス。Network Status Report リンクをクリックすると、Network Status レポートが開きます。詳細については、 Network Status レポートのフィールドを参照してください。
ACQUISTION & IMPLEMENTATION
AI1 Identify automated solutions
次のデフォルト リンクが表示されます。
  • データベースをプルーニングするシステム タスクが毎週実行されます。Pending Tasks リンクをクリックすると、Pending Tasks ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • モジュールのインベントリ データを収集するシステム タスクが毎週実行されます。Pending Tasks リンクをクリックすると、Scheduled Tasks ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • Summary Reports を更新するシステム タスクが毎日実行されます。Pending Tasks リンクをクリックすると、Scheduled Tasks ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • デバイス設定の変更をポーリングするシステム タスクが毎日実行されます。Pending Tasks リンクをクリックすると、Scheduled Tasks ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
AI2 Acquire and maintain application software
これは適用されません。
AI3 Acquire and maintain technology infrastructure
次の要素の数が表示されます。
AI4 Develop and maintain procedures
次の要素の数が表示されます。
  • 設定管理の「Best Practices」における緑色(しきい値内)のステータス。Network Status Report リンクをクリックすると、Network Status レポートが開きます。詳細については、 Network Status レポートのフィールドを参照してください。
  • アクティブな設定ポリシー。Configurations Policies リンクをクリックすると、Config Search Results ページが開きます。詳細については、 Device Configuration Detail ページのフィールドを参照してください。
AI5 Install and accredit systems
次の要素の数が表示されます。
  • 「okay」ステータスを表示しているモニタ。System Status リンクをクリックすると、System Status レポートが開きます。詳細については、 System Status ページのフィールドを参照してください。
  • ソフトウェア コンプライアンスに適合しているデバイス。Device Software Report リンクをクリックすると、Software Compliance Search Results ページが開きます。詳細については、 Device Software レポートのフィールドを参照してください。
  • 設定管理の「Best Practices」における緑色(しきい値内)のステータス。Network Status Report リンクをクリックすると、Network Status レポートが開きます。詳細については、 Network Status レポートのフィールドを参照してください。
AI6 Manage changes
次の要素の数が表示されます。
  • 過去 7 日間に実行された Telnet/SSH プロキシ セッション。Sessions リンクをクリックすると、Session Search Results ページが開きます。詳細については、 Session Search Results ページのフィールドを参照してください。
  • 過去 7 日間にスケジュールされたデバイス変更タスク。Pending Tasks (7 days) リンクをクリックすると、Task Search Results ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • 次の 7 日間に実行するようにスケジュールされたデバイス変更タスク。Pending Tasks (7 days) リンクをクリックすると、Task Search Results ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • 承認が保留状態になっている変更。Changes Pending Approval リンクをクリックすると、Changes Pending Search Results ページが開きます。詳細については、 イベントの検索を参照してください。
  • 過去 7 日間に承認された変更。Approved Changes リンクをクリックすると、Approved Changes Search Results ページが開きます。詳細については、 イベントの検索を参照してください。
  • 過去 7 日間に承認されなかった変更。Unapproved Changes リンクをクリックすると、Unapproved Changes Search Results ページが開きます。詳細については、 イベントの検索を参照してください。

COSO Compliance Status レポート

1992 年に、Committee of Sponsoring Organizations of the Treadway Commission(COSO; 米国トレッドウェイ委員会組織委員会)は、内部統制に関する画期的なレポートを公表しました。『Internal Control--Integrated Framework』(一般に「COSO」と呼ばれる)は、内部統制システムの確立とその効果の判別に関する基準を提供しています。

NCM は、内部統制システムの効率化に不可欠な要素として、次の 5 つのコンポーネントを用意しています。

  • Control Environment:基本的な規律と構造を提供することによって、内部統制システムの基盤を確立します。
  • Risk Assessment:目標の達成に伴うリスクの管理による識別と分析を含みます。
  • Control Activities:経営目標の達成とリスク軽減戦略の遂行を保証します。
  • Information and Communication:統制責任を従業員に伝達し、従業員がその義務を履行できるようにするための情報をフォームと時間フレームで提供することにより、すべての統制コンポーネントをサポートします。
  • Monitoring:プロセス外の管理者または他の関係者による、内部統制に関する外部監視を含みます。

COSO の詳細については、「More information about COSO and achieving compliance using CiscoWorks Network Compliance Manager」リンクをクリックしてください。

COSO Compliance Status レポートを表示するには、次の手順を実行します。

  1. Reports の下のメニューバーで、Compliance Center をクリックします。Compliance Center Home ページが開きます。
COSO Compliance Status リンクをクリックします。COSO Compliance Status ページが開きます。

COSO Compliance Status ページのフィールド

 

フィールド
説明/アクション
Control Environment
次の要素の数が表示されます。
  • 特定のデバイス セットに制限されているユーザ。User List リンクをクリックすると、User Search Results ページが開きます。詳細については、 All Users ページのフィールドを参照してください。
  • Administrator アクセス権が割り当てられているユーザ。User List リンクをクリックすると、User Search Results ページが開きます。詳細については、 All Users ページのフィールドを参照してください。
  • 適用されているデバイス パスワード規則。Device Password Rules リンクをクリックすると、Device Password Rules List ページが開きます。詳細については、 Device Password Rules ページのフィールドを参照してください。
  • 適用されている設定ポリシー。Configuration Policies リンクをクリックすると、Policies ページが開きます。詳細については、 Policies ページのフィールドを参照してください。
  • 適用されているワークフロー規則。Workflow Setup リンクをクリックすると、Workflow Wizard が開きます。詳細については、 Workflow Wizardを参照してください。
  • ACL。All ACLs リンクをクリックすると、ACLs Search Results ページが開きます。詳細については、 ACL の表示を参照してください。
  • 使用中の ACL。ACLs In Use リンクをクリックすると、ACLs Search Results ページが開きます。詳細については、 ACL の表示を参照してください。
Risk Assessment
次の要素の数が表示されます。
  • 設定管理の「Best Practices」における緑色(しきい値内)のステータス。Network Status Report リンクをクリックすると、Network Status レポートが開きます。詳細については、 Network Status レポートのフィールドを参照してください。
  • アクセス障害が発生したデバイス。Inaccessible Devices リンクをクリックすると、Device Search Results ページが開きます。詳細については、 Inventory ページのフィールドを参照してください。
  • ポートのアベイラビリティが 10% 未満であるデバイスの数が表示されます。Port Availability リンクをクリックすると、Device Search Results ページが開きます。詳細については、 Inventory ページのフィールドを参照してください。
Control Activities
次の要素の数が表示されます。
  • 過去 7 日間に実行された Telnet/SSH プロキシ セッション。Sessions リンクをクリックすると、Session Search Results ページが開きます。詳細については、 Session Search Results ページのフィールドを参照してください。
  • 次の 24 時間に実行するようにスケジュールされたデバイス変更タスク。Pending Tasks (24 hours) リンクをクリックすると、Task Search Results ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • 次の 7 日間に実行するようにスケジュールされたデバイス変更タスク。Pending Tasks (7 days) リンクをクリックすると、Task Search Results ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • 次の 24 時間に実行するようにスケジュールされたソフトウェア展開。Pending Deployments (24 hours) リンクをクリックすると、Task Search Results ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • 次の 7 日間に実行するようにスケジュールされたソフトウェア展開。Pending Deployments (7 days) リンクをクリックすると、Task Search Results ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • 承認が保留状態になっている変更。Changes Pending Approval リンクをクリックすると、Changes Pending Search Results ページが開きます。詳細については、 イベントの検索を参照してください。
Information and Communication
次の要素の数が表示されます。
  • 過去 24 時間に検出された設定変更。Dashboard リンクをクリックすると、Home ページが開きます。詳細については、 My Homepage のフィールドを参照してください。
  • 過去 24 時間に発生した NCM イベント。Dashboard リンクをクリックすると、Home ページが開きます。詳細については、 My Homepage のフィールドを参照してください。
  • 1 日あたりの変更の平均数(過去 7 日間)。Summary Reports リンクをクリックすると、Summary レポートが開きます。詳細については、 Summary レポートの説明を参照してください。
  • 1 日あたりの変更の平均数(過去 30 日間)。Summary Reports リンクをクリックすると、Summary レポートが開きます。詳細については、 Summary レポートの説明を参照してください。
  • コメントを含む ACL。ACLs With Comments リンクをクリックすると、ACLs Search Results ページが開きます。詳細については、 ACL コメントの作成と ACL ハンドルの作成を参照してください。
Monitoring
次の要素の数が表示されます。
  • 「okay」ステータスを表示しているモニタ。System Status リンクをクリックすると、System Status レポートが開きます。詳細については、 System Status ページのフィールドを参照してください。
  • ソフトウェア コンプライアンスに適合しているデバイス。Device
    Software Report リンクをクリックすると、Software Compliance Search Results ページが開きます。詳細については、 Device Software レポートのフィールドを参照してください。
  • 過去 24 時間に設定ポリシーに違反したイベント。Configuration Policy Events (24 hours) リンクをクリックすると、Configure Policy Activity ページが開きます。詳細については、 Configuration Policy Activity ページのフィールドを参照してください。
  • 過去 7 日間に設定ポリシーに違反したイベント。Configuration Policy Events (7 days) リンクをクリックすると、Configure Policy Activity ページが開きます。詳細については、 Configuration Policy Activity ページのフィールドを参照してください。
  • スタートアップ コンフィギュレーションと実行コンフィギュレーションとが異なっているデバイス。Devices List リンクをクリックすると、Device Search Results ページが開きます。詳細については、 Inventory ページのフィールドを参照してください。
  • 非アクティブなデバイス。Inactive Devices リンクをクリックすると、Device Search Results ページが開きます。詳細については、 Inventory ページのフィールドを参照してください。
  • 過去 7 日間に承認された変更。Approved Changes リンクをクリックすると、Approved Changes Search Results ページが開きます。詳細については、 イベントの検索を参照してください。
  • 過去 7 日間に承認されなかった変更。Unapproved Changes リンクをクリックすると、Unapproved Changes Search Results ページが開きます。詳細については、 イベントの検索を参照してください。
  • 過去 7 日間に行われた ACL の変更。ACL Changes リンクをクリックすると、ACLs Search Results ページが開きます。詳細については、 ACL の表示を参照してください。

ITIL Compliance Status レポート

CCTA(現 OGC(Office of Government Commerce))によって英国政府向けに開発された ITIL(IT Infrastructure Library)は、IT サービスのプロビジョニングに関するベスト プラスクティスの標準として、世界中で急速に採用されつつあります。ITIL の主な領域は、次の 3 つです。

  • サービス サポート:IT サービスを効果的に提供できるようにします。
  • サービス デリバリ:IT サービスの管理を可能にします。
  • セキュリティ管理:データおよびインフラストラクチャの保護を可能にします。

ITIL の詳細については、「More information about ITIL and achieving compliance using CiscoWorks Network Compliance Manager」リンクをクリックしてください。

ITIL Compliance Status レポートを表示するには、次の手順を実行します。

  1. Reports の下のメニューバーで、Compliance Center をクリックします。Compliance Center Home ページが開きます。
ITIL Compliance Status リンクをクリックします。ITIL Compliance Status ページが開きます。

ITIL Compliance Status ページのフィールド

フィールド
説明/アクション
Configuration Management
service support process
次の要素の数が表示されます。
Incident Management
Service support process
次の要素の数が表示されます。
  • 過去 24 時間に検出された設定変更。Dashboard リンクをクリックすると、Home ページが開きます。詳細については、 My Homepage のフィールドを参照してください。
  • 過去 24 時間に発生した NCM イベント。Dashboard リンクをクリックすると、Home ページが開きます。詳細については、 My Homepage のフィールドを参照してください。
Problem Management
Service support process
次の要素の数が表示されます。
  • 設定管理の「Best Practices」における緑色(しきい値内)のステータス。Network Status Report リンクをクリックすると、Network Status レポートが開きます。詳細については、 Network Status レポートのフィールドを参照してください。
  • アクセス障害が発生したデバイス。Inaccessible Devices リンクをクリックすると、Device Search Results ページが開きます。詳細については、 デバイスの表示を参照してください。
Change Management
service support process
次の要素の数が表示されます。
  • 過去 7 日間に実行された Telnet/SSH プロキシ セッション。Sessions リンクをクリックすると、Session Search Results ページが開きます。詳細については、 Session Search Results ページのフィールドを参照してください。
  • 次の 24 時間に実行するようにスケジュールされたデバイス変更タスク。Pending Tasks (24 hours) リンクをクリックすると、Task Search Results ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • 次の 7 日間に実行するようにスケジュールされたデバイス変更タスク。Pending Tasks (7 days) リンクをクリックすると、Task Search Results ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • 承認が保留状態になっている変更。Changes Pending Approval リンクをクリックすると、Changes Pending Search Results ページが開きます。詳細については、 イベントの検索を参照してください。
  • 過去 7 日間に承認された変更。Approved Changes リンクをクリックすると、Approved Changes Search Results ページが開きます。詳細については、 イベントの検索を参照してください。
  • 過去 7 日間に承認されなかった変更。Unapproved Changes リンクをクリックすると、Unapproved Changes Search Results ページが開きます。詳細については、 イベントの検索を参照してください。
  • 適用されている設定ポリシー。Configuration Policies リンクをクリックすると、Policies ページが開きます。詳細については、 Policies ページのフィールドを参照してください。
  • 適用されているワークフロー規則。Workflow Setup リンクをクリックすると、Workflow Wizard が開きます。詳細については、 Workflow Wizardを参照してください。
Service Desk
service support function
次の要素の数が表示されます。
  • 次の 24 時間に実行するようにスケジュールされたデバイス変更タスク。Pending Tasks (24 hours) リンクをクリックすると、Task Search Results ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • 次の 7 日間に実行するようにスケジュールされたデバイス変更タスク。Pending Tasks (7 days) リンクをクリックすると、Task Search Results ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
Release Management
service support process
次の要素の数が表示されます。
  • 次の 24 時間に実行するようにスケジュールされたソフトウェア展開。
    Pending Deployments (24 hours) リンクをクリックすると、Task Search Results ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • 次の 7 日間に実行するようにスケジュールされたソフトウェア展開。
    Pending Deployments (7 days) リンクをクリックすると、Task Search Results ページが開きます。詳細については、 スケジュールされたタスクの表示を参照してください。
  • ソフトウェア コンプライアンスに適合しているデバイス。
    Device Software Report リンクをクリックすると、Software Compliance Search Results ページが開きます。詳細については、 Device Software レポートのフィールドを参照してください。
Service Level Management
service delivery process
次の要素の数が表示されます。
  • 設定管理の「Best Practices」における緑色(しきい値内)のステータス。Network Status Report リンクをクリックすると、Network Status レポートが開きます。詳細については、 Network Status レポートのフィールドを参照してください。
  • 1 日あたりの変更の平均(過去 7 日間)。Summary Reports リンクをクリックすると、Summary レポートが開きます。詳細については、 Summary レポートの説明を参照してください。
  • 1 日あたりの変更の平均(過去 30 日間)。Summary Reports リンクをクリックすると、Summary レポートが開きます。詳細については、 Summary レポートの説明を参照してください。
Capacity Management
Service delivery process
ポートのアベイラビリティが 10% 未満であるデバイスの数が表示されます。Port Availability リンクをクリックすると、Device Search Results ページが開きます。詳細については、 Inventory ページのフィールドを参照してください。
Continuity Management
Service delivery process
次の要素の数が表示されます。
  • 過去 24 時間に実行された診断。Diagnostics (24 hours) リンクをクリックすると、Diagnostic Search Results ページが開きます。詳細については、 診断を参照してください。
  • 過去 7 日間に実行された診断。Diagnostics (7 days) リンクをクリックすると、Diagnostic Search Results ページが開きます。詳細については、 診断を参照してください。
Availability Management
Service delivery process
次の要素の数が表示されます。
  • 過去 24 時間に設定ポリシーに違反したイベント。Configuration Policy Events (24 hours) リンクをクリックすると、Configure Policy Activity ページが開きます。詳細については、 Configuration Policy Activity ページのフィールドを参照してください。
  • 過去 7 日間に設定ポリシーに違反したイベント。Configuration Policy Events (7 days) リンクをクリックすると、Configure Policy Activity ページが開きます。詳細については、 Configuration Policy Activity ページのフィールドを参照してください。
IT Financial Management
Service delivery process
次の要素の数が表示されます。
  • 「okay」ステータスを表示しているモニタ。System Status リンクをクリックすると、System Status レポートが開きます。詳細については、 System Status ページのフィールドを参照してください。
  • インベントリに含まれているデバイス。Device List リンクをクリックすると、Inventory ページが開きます。詳細については、 デバイスの追加を参照してください。
  • インベントリに含まれているモジュール。Module リンクをクリックすると、Module Search Results ページが開きます。詳細については、 Device Blades/Modules ページのフィールドを参照してください。
Security Management
Service delivery process
次の要素の数が表示されます。
  • 特定のデバイス セットに制限されているユーザ。User List リンクをクリックすると、User Search Results ページが開きます。詳細については、 All Users ページのフィールドを参照してください。
  • Administrator アクセス権が割り当てられているユーザ。User List リンクをクリックすると、User Search Results ページが開きます。詳細については、 All Users ページのフィールドを参照してください。
  • 適用されているデバイス パスワード規則。Device Password Rules リンクをクリックすると、Device Password Rules List ページが開きます。詳細については、 Device Password Rules ページのフィールドを参照してください。
  • ACL。All ACLs リンクをクリックすると、ACLs Search Results ページが開きます。詳細については、 ACL の表示を参照してください。
  • 使用中の ACL。ACLs In Use リンクをクリックすると、ACLs Search Results ページが開きます。詳細については、 ACL の表示を参照してください。
  • 過去 7 日間に行われた ACL の変更。ACL Changes リンクをクリックすると、ACLs Search Results ページが開きます。詳細については、 ACL の表示を参照してください。
  • コメントを含む ACL。ACLs With Comments リンクをクリックすると、ACLs Search Results ページが開きます。詳細については、 ACL コメントの作成と ACL ハンドルの作成を参照してください。

GLBA Compliance Status レポート

Financial Modernization Act of 1999(別名、Gramm-Leach-Bliley Act(GLBA))には、金融機関が保持する消費者の個人金融情報を保護する条項が含まれています。主に、次の 3 つのプライバシー要件があります。

  • 内偵調査に関する条項
  • 金融プライバシー規則
  • セーフガード規則

セーフガード規則では、すべての金融機関に対して、顧客情報を保護するための予防措置の策定、実施、および維持を要求しています。セーフガード規則は、顧客から情報を収集する金融機関だけでなく、他の金融機関から顧客情報を受け取る信用調査機関などの金融機関にも適用されます。

GLBA の詳細については、「More information about GLBA and achieving compliance using CiscoWorks Network Compliance Manager」リンクをクリックしてください。

GLBA Compliance Status レポートを表示するには、次の手順を実行します。

  1. Reports の下のメニューバーで、Compliance Center をクリックします。Compliance Center Home ページが開きます。
GLBA Compliance Status リンクをクリックします。GLBA Compliance Status ページが開きます。

GLBA Compliance Status ページのフィールド

 

フィールド
説明/アクション
Interagency Guideline Section
II.A. Information Security Program
次の要素の数が表示されます。
  • インベントリに含まれているデバイス。詳細については、 デバイスの表示を参照してください。
  • インベントリに含まれているモジュール。詳細については、 デバイス詳細の表示を参照してください。
  • 格納されているデバイス設定。詳細については、 デバイス詳細の表示を参照してください。
II.B. Objectives
次の要素の数が表示されます。
  • 特定のデバイス グループに制限されているユーザ。詳細については、 All Users ページのフィールドを参照してください。
  • 管理者権限が割り当てられているユーザ。詳細については、 All Users ページのフィールドを参照してください。
  • 過去 7 日間に失敗したユーザ ログイン。詳細については、 イベントの説明を参照してください。
  • 承認が保留状態になっている変更。 タスクについてを参照してください。
  • 過去 7 日間に承認された変更。詳細については、 タスクについてを参照してください。
  • 過去 7 日間に承認されなかった変更。詳細については、 タスクについてを参照してください。
  • 識別された ACL。詳細については、 ACL の表示を参照してください。
  • 使用中の ACL。詳細については、 ACL の表示を参照してください。
  • 過去 7 日間に行われた ACL の変更。詳細については、 ACL の表示を参照してください。
  • コメントを含む ACL。詳細については、 ACL の表示を参照してください。
III.A. Involve the Board of Directors
次の要素の数が表示されます。
 
III.B. Assess Risk
次の要素の数が表示されます。
III.C.1.Manage and Control Risk (Policies & Procedures)
次の要素の数が表示されます。
III.C.2.Manage and Control Risk (Training)
次のシスコ製品マニュアルにアクセスできます。
  • Network Compliance Manager ユーザ ガイド 1.2
  • デバイス ドライバ リファレンス
  • リリース ノート
III.C.3.Manage and Control Risk (Testing)
次の要素の数が表示されます。
  • 過去 24 時間に設定ポリシーに違反したイベント。詳細については、 デバイス設定変更の表示を参照してください。
  • 過去 7 日間に設定ポリシーに違反したイベント。詳細については、 デバイス設定変更の表示を参照してください。
  • ソフトウェア コンプライアンスに違反しているデバイス。詳細については、 デバイス設定変更の表示を参照してください。
  • 過去 24 時間に実行された診断。詳細については、 診断を参照してください。
  • 過去 7 日間に実行された診断。詳細については、 診断を参照してください。
III.D. Oversee Service Provider Arrangements
次の要素の数が表示されます。
  • 格納されている設定。詳細については、 デバイス設定変更の表示を参照してください。
  • スタートアップ コンフィギュレーションと実行コンフィギュレーションとが異なっているデバイス。詳細については、 デバイス設定変更の表示を参照してください。
  • 非アクティブなデバイス。詳細については、 デバイスの表示を参照してください。
  • アクセス障害が発生したデバイス。詳細については、 デバイスの表示を参照してください。
III.E. Adjust the Program
次の要素の数が表示されます。
III.F. Report to the Board
次の項目が表示されます。
III.G. Implement the Standards
この要件は、NCM の適用範囲外です。

HIPAA Compliance Status レポート

HIPAA とは、Health Insurance Portability & Accountability Act of 1996 のことです。最終の HIPAA Security Rule は、2003 年 2 月 20 日に発表されました。この最終規則の対象となる実体には、Department of Health and Human Services(HHS)Medicare Program、保健保険の運営や健康管理に携わるその他の連邦機関、州のメディケイド機関、民間の保健保険、健康管理業者、および被保護医療情報(PHI)を電子形式で処理、転送、または保管する健康管理情報センターなどがあります。

HIPAA の詳細については、「More information about HIPAA and achieving compliance using CiscoWorks Network Compliance Manager」リンクをクリックしてください。

HIPAA Compliance Status レポートを表示するには、次の手順を実行します。

  1. Reports の下のメニューバーで、Compliance Center をクリックします。Compliance Center Home ページが開きます。
HIPAA Compliance Status リンクをクリックします。HIPAA Compliance Status ページが開きます。

HIPAA Compliance Status ページのフィールド

 

フィールド
説明/アクション
Security Standards: General Rules
(1) Ensure the confidentiality, integrity, and availability of all electronic protected health information the covered entity creates, receives, maintains, or transmits.
次の要素の数が表示されます。
(2) Protect against any reasonably-anticipated threats or hazards to the security or integrity of such information.
次の要素の数が表示されます。
(3) Protect against any anticipated uses or disclosures that are not permitted or required under subpart E of this part.
次の要素の数が表示されます。
(4) Ensure compliance with this subpart by its workforce.
CiscoWorks Network Compliance Center HIPAA Compliance Status レポートを開くことができます。
Administration Safeguards
A) Risk analysis (Required).Conduct an accurate and thorough assessment of the potential risks and vulnerabilities to the confidentiality, integrity, and availability of electronic protected health information held by the covered entity.
次の要素の数が表示されます。
(B) Risk management (Required).Implement security measures sufficient to reduce risks and vulnerabilities to a reasonable and appropriate level to comply with ?164.306(a).
次の要素の数が表示されます。
(C) Sanction policy (Required).Apply appropriate sanctions against workforce members who fail to comply with the security policies and procedures of the covered entity.
この要件は、NCM の適用範囲外です。
(D) Information system activity review (Required).Implement procedures to regularly review records of information system activity, such as audit logs, access reports, and security incident tracking reports.
次の要素の数が表示されます。
Identify the security official who is responsible for the development and implementation of the policies and procedures required by this subpart for the entity.
この要件は、NCM の適用範囲外です。
Workforce Security
(A) Authorization and/or supervision (Addressable).Implement procedures for the authorization and/or supervision of workforce members who work with electronic protected health information or in locations where it might be accessed.
次の要素の数が表示されます。
  • 特定のデバイス グループに制限されているユーザ。詳細については、 All Users ページのフィールドを参照してください。
  • 過去 7 日間に承認された変更。詳細については、 イベントの検索を参照してください。
  • 過去 7 日間に承認されなかった変更。詳細については、 イベントの検索を参照してください。
(B) Workforce clearance procedure (Addressable).Implement procedures to determine that the access of a workforce member to electronic protected health information is appropriate.
Administrator アクセス権が割り当てられているユーザの数が表示されます。詳細については、 All Users ページのフィールドを参照してください。
(C) Termination procedures (Addressable).Implement procedures for terminating access to electronic protected health information when the employment of a workforce member ends or as required by determinations made as specified in paragraph (a)(3)(ii)(B) of this section.
過去 7 日間に削除されたユーザの数が表示されます。詳細については、 All Users ページのフィールドを参照してください。
Information Access Management
(A) Isolating health care clearinghouse functions (Required).If a health care clearinghouse is part of a larger organization, the clearinghouse must implement policies and procedures that protect the electronic protected health information of the clearinghouse from unauthorized access by the larger organization.
次の要素の数が表示されます。
(B) Access authorization (Addressable).Implement policies and procedures for granting access to electronic protected health information, for example, through access to a workstation, transaction, program, process, or other mechanism.
次の要素の数が表示されます。
(C) Access establishment and modification (Addressable).Implement policies and procedures that, based upon the entity's access authorization policies, establish, document, review, and modify a user's right of access to a workstation, transaction, program, or process.
次の要素の数が表示されます。
Security Awareness and Training
(A) Security reminders (Addressable).Periodic security updates.
次の要素の数が表示されます。
(B) Protection from malicious software (Addressable).Procedures for guarding against, detecting, and reporting malicious software.
この要件は、NCM の適用範囲外です。
(C) Log-in monitoring (Addressable).Procedures for monitoring log-in attempts and reporting discrepancies.
次の要素の数が表示されます。
  • 過去 7 日間のユーザ ログイン試行。詳細については、 イベントの説明を参照してください。
  • 過去 7 日間に失敗したユーザ ログイン。詳細については、 イベントの説明を参照してください。
(D) Password management (Addressable).Procedures for creating, changing, and safeguarding passwords.
過去 7 日間の NCM パスワード変更の回数が表示されます。詳細については、 Deploy Passwords Task ページのフィールドを参照してください。
Security Incident Procedures
Response and Reporting (Required).Identify and respond to suspected or known security incidents; mitigate, to the extent practicable, harmful effects of security incidents that are known to the covered entity; and document security incidents and their outcomes.
次の要素の数が表示されます。
Contingency Plan
(A) Data backup plan (Required).Establish and implement procedures to create and maintain retrievable exact copies of electronic protected health information.
NCM は、保護された電子形式の医療情報を作成および保持しません。
(B) Disaster recovery plan (Required).Establish (and implement as needed) procedures to restore any loss of data.
NCM は、自動障害検出と、データを損失しない自動(または手動)フェールオーバーをサポートするように実装できるハイ アベイラビリティ(HA)システムです。
(C) Emergency mode operation plan (Required).Establish (and implement as needed) procedures to enable continuation of critical business processes for protection of the security of electronic protected health information while operating in emergency mode.
NCM は、自動障害検出と、データを損失しない自動(または手動)フェールオーバーをサポートするように実装できるハイ アベイラビリティ(HA)システムです。
(D) Testing and revision procedures (Addressable).Implement procedures for periodic testing and revision of contingency plans.
NCM は、自動障害検出と、自動(または手動)フェールオーバーの定期的なテストをサポートします。
(E) Applications and data criticality analysis (Addressable).Assess the relative criticality of specific applications and data in support of other contingency plan components.
NCM の信頼性の高いレポーティング機能により、他のコンティンジェンシー プラン コンポーネントに対して、NCM の相対的な重大度を評価するための基盤が提供されます。
Evaluation
Perform a periodic technical and nontechnical evaluation.
次の要素の数が表示されます。
Written contract or other arrangement (Required).Document the satisfactory assurances required by paragraph (b)(1) of this section through a written contract or other arrangement with the business associate that meets the applicable requirements of ? 164.314(a).
この要件は、NCM の適用範囲外です。
Physical Safeguards
(i) Contingency operations (Addressable).Establish (and implement as needed) procedures that allow facility access in support of restoration of lost data under the disaster recovery plan and emergency mode operations plan in the event of an emergency.
この要件は、NCM の適用範囲外です。
(ii) Facility security plan (Addressable).Implement policies and procedures to safeguard the facility and the equipment therein from unauthorized physical access, tampering, and theft.
この要件は、NCM の適用範囲外です。
(iii) Access control and validation procedures (Addressable).Implement procedures to control and validate a person's access to facilities based on their role or function, including visitor control, and control of access to software programs for testing and revision.
次の要素の数が表示されます。
  • 過去 7 日間のユーザ ログイン試行。詳細については、 イベントの説明を参照してください。
  • 過去 7 日間に失敗したユーザ ログイン。詳細については、 イベントの説明を参照してください。
  • 特定のデバイス グループに制限されている
    ユーザ。詳細については、 All Users ページのフィールドを参照してください。
  • 制限された(管理者でない)アクセス権が割り当てられているユーザ。詳細については、 All Users ページのフィールドを参照してください。
(iv) Maintenance records (Addressable).Implement policies and procedures to document repairs and modifications to the physical components of a facility which are related to security (for example, hardware, walls, doors, and locks).
この要件は、NCM の適用範囲外です。
Workstation Use
Implement policies and procedures that specify the proper functions to be performed.
この要件は、NCM の適用範囲外です。
Implement physical safeguards for all workstations that access electronic protected health information, to restrict access to authorized users.
この要件は、NCM の適用範囲外です。
Device and Media Controls
(i) Disposal (Required).Implement policies and procedures to address the final disposition of electronic protected health information, and/or the hardware or electronic media on which it is stored.
この要件は、NCM の適用範囲外です。
(ii) Media re-use (Required).Implement procedures for removal of electronic protected health information from electronic media before the media are made available for re-use.
この要件は、NCM の適用範囲外です。
(iii) Accountability (Addressable).Maintain a record of the movements of hardware and electronic media and any person responsible therefore.
この要件は、NCM の適用範囲外です。
(iv) Data backup and storage (Addressable).Create a retrievable, exact copy of electronic protected health information, when needed, before movement of equipment.
この要件は、NCM の適用範囲外です。
Technical Safeguards
(i) Unique user identification (Required).Assign a unique name and/or number for identifying and tracking user identity.
次の要素の数が表示されます。
(ii) Emergency access procedure (Required).Establish (and implement as needed) procedures for obtaining necessary electronic protected health information during an emergency.
NCM は、自動障害検出と、データを損失しない自動(または手動)フェールオーバーをサポートするように実装できるハイ アベイラビリティ(HA)システムです。
(iii) Automatic logoff (Addressable).Implement electronic procedures that terminate an electronic session after a predetermined time of inactivity.
非アクティビティ状態が 18000 秒続くと、Web ユーザ セッションは終了します。
(iv) Encryption and decrypting (Addressable).Implement a mechanism to encrypt and decrypt electronic protected health information.
この要件は、NCM の適用範囲外です。
Audit Controls
Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use electronic protected health information.
この要件は、NCM の適用範囲外です。
Standard Integrity
Mechanism to authenticate electronic protected health information (Addressable).Implement electronic mechanisms to corroborate that electronic protected health information has not been altered or destroyed in an unauthorized manner.
この要件は、NCM の適用範囲外です。
Person or Entity Authentication
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
この要件は、NCM の適用範囲外です。
Transmission Security
(i) Integrity controls (Addressable).Implement security measures to ensure that electronically transmitted electronic protected health information is not improperly modified without detection until disposed of.
この要件は、NCM の適用範囲外です。
(ii) Encryption (Addressable).Implement a mechanism to encrypt electronic protected health information whenever deemed appropriate.
この要件は、NCM の適用範囲外です。
Implement reasonable and appropriate policies and procedures to comply with the standards, implementation specifications, or other requirements.
この要件は、NCM の適用範囲外です。
Documentation
(i) Time limit (Required).Retain the documentation required by paragraph (b)(1) of this section for 6 years from the date of its creation or the date when it last was in effect, whichever is later.
この要件は、NCM の適用範囲外です。
(ii) Availability (Required).Make documentation available to those persons responsible for implementing the procedures to which the documentation pertains.
この要件は、NCM の適用範囲外です。
(iii) Updates (Required).Review documentation periodically, and update as needed, in response to environmental or operational changes affecting the security of the electronic protected health information.
この要件は、NCM の適用範囲外です。

Visa CISP (PCI Data Security Standard) Compliance Status レポート

データの窃盗に対処し、消費者の信頼を維持するために、すべての主要なクレジット カードの発行業者は、次のような詳細なセキュリティ プログラムを規定しています。

  • Visa USA Cardholder Information Security Program(CISP)
  • MasterCard Site Data Protection(SDP)プログラム
  • Discover Information Security and Compliance(DISC)プログラム
  • American Express Data Security Operating Policy(DSOP)

2004 年末に、Visa および MasterCard は、Payment Card Industry(PCI)Data Security Standard という単一基準に基づいて、各自のプログラムを調整しました。基本となるセキュリティ ベスト プラクティスは、カード所有者のデータの保護に焦点を当てており、12 の PCI 要件を包含しています。要件に適合できない場合、またはセキュリティ問題を是正できない場合のペナルティは厳しくなっています。業者に対して制約や Visa プログラムへの参加の永久禁止に加え、事象ごとに最高 50 万ドルの罰金が課される可能性があります。

Visa CISP の詳細については、「More information about the PCI Data Security Standard (Visa CISP) and achieving compliance using CiscoWorks Network Compliance Manager」リンクをクリックしてください。

Visa CISP Compliance Status レポートを表示するには、次の手順を実行します。

  1. Reports の下のメニューバーで、Compliance Center をクリックします。Compliance Center Home ページが開きます。
Visa CISP Compliance Status リンクをクリックします。Visa CISP Compliance Status ページが開きます。

Visa CISP (PCI Data Security Standard) Compliance Status ページのフィールド

 

フィールド
説明/アクション
Build and Maintain a Secure Network
1.1: Establish firewall configuration standards that include:
  • A formal process for approving and testing all connections and changes to the firewall configuration.
  • A current network diagram with all connections to cardholder data.
  • Requirements for a firewall at each Internet connection and between any DMZ and the Intranet.
  • Description of groups, roles, and responsibilities for logical management of network components.
  • Documented list of services/ports necessary for business.
  • Justification and documentation for any available protocols besides HTTP and SSL, SSH, and VPN.
  • Justification and documentation for any risky protocols.
  • Periodic review of firewall/router rule sets.
  • Configuration standards for routers.
次の要素の数が表示されます。
1.2: Build a firewall configuration that denies all traffic from "untrusted" networks/hosts, except for:
  • Web protocols - HTTP (port 80) and Secure Sockets Layer (SSL) (typically port 443).
  • System administration protocols.
  • Other protocols required by the business.
次の要素の数が表示されます。
1.3: Build a firewall configuration that restricts connections between publicly accessible servers and any system component storing cardholder data, including:
  • Restricting inbound Internet traffic to IP addresses within the DMZ (ingress filters).
  • Restricting inbound and outbound Internet traffic to ports 80 and 443.
  • Not allowing internal addresses to pass from the Internet into the DMZ (egress filters).
  • Placing the database in an internal network zone.
  • Restricting outbound traffic to that which is necessary for the payment card environment.
  • Securing and synchronizing router configuration files.
  • Denying all other inbound and outbound traffic not specifically allowed.
  • Installation of perimeter firewalls between any wireless networks and the payment card environment.
  • Installation of personal firewall software on any mobile and/or employee-owned computers with direct connectivity to the Internet.
次の要素の数が表示されます。
1.4: Prohibit direct public access between external networks and any system component that stores cardholder information, including:
  • Implement a DMZ to filter and screen all traffic, to prohibit direct routes for inbound and outbound Internet traffic.
  • Restrict outbound traffic from payment card applications to IP addresses within the DMZ.
次の要素の数が表示されます。
1.5: Implement Internet Protocol (IP) masquerading to prevent internal addresses from being translated and revealed on the Internet.
次の要素の数が表示されます。
2.1: Always change the vendor-supplied defaults before you install a system on the network.For wireless environments, change wireless vendor defaults.
次の要素の数が表示されます。
2.2: Develop configuration standards for all system components, including:
  • Implement only one primary function per server.
  • Disable all unnecessary and insecure services and protocols.
  • Configure system security parameters to prevent misuse.
  • Remove all unnecessary functionality, such as scripts, drivers, features, subsystems, and file systems.
次の要素の数が表示されます。
2.3: Encrypt all non-console administrative access.
SSH または SCP を使用するように設定されているデバイスの数が表示されます。詳細については、 デバイス詳細の表示を参照してください。
Protect Cardholder Data
4.1: Use strong cryptography and encryption techniques.For wireless networks transmitting cardholder data, encrypt the transmissions by using Wi-Fi Protected Access (WPA) technology if WPA capable, or VPN or SSL at 128-bit.
次の要素の数が表示されます。
4.2: Never send cardholder information via unencrypted e-mail.
この要件は、NCM の適用範囲外です。
Maintain a Vulnerability Management Program
6.1: Ensure that all system components and software have the latest vendor-supplied security patches and install relevant security patches within one month of release.
次の要素の数が表示されます。
6.2: Establish a process to identify newly discovered security vulnerabilities.
次の要素の数が表示されます。
6.3: Develop software applications based on industry best practices and include information security throughout the software development life cycle, including:
  • Testing of all security patches and system and software configuration changes before deployment.
  • Separate development/test and production environments.
  • Production data (real credit card numbers) are not used for testing or development.
  • Removal of test data and accounts before production systems become active.
  • Review of custom code prior to release to production or customers, to identify any potential coding vulnerability.
NCM では、ポリシー違反の特定のために展開を行う前に、システムに入力された設定データに対してポリシーをテストできます。
6.4: Follow change control procedures for all system and software configuration changes, including:
  • Documentation of impact
  • Management sign-off by appropriate parties
  • Testing that verifies operational functionality
  • Back-out procedures
次の要素の数が表示されます。
6.5: Develop web software and applications based on secure coding guidelines, including:
  • Invalidated input
  • Broken access control
  • Broken authentication/session management
  • Cross-site scripting (XSS) attacks
  • Buffer overflows
  • Injection flaws
  • Improper error handling
  • Insecure storage
  • Denial of service
  • Insecure configuration management
シスコは、業界で認められているソフトウェア設計原則とコーディング慣例、およびセキュアな高品質コードの作成を重視する内部的なエンジニアリング ポリシーを適用しています。
 
シスコは、すべての脆弱性の特定と対策のために、さまざまなセキュリティ掲示板および警告を監視し、メーリング リストを登録して、コードのセキュリティ レビューを定期的に行っています。
Implement Strong Access Control Measures
7.1: Limit access to computing resources and cardholder information to only those individuals whose job requires such access.
次の要素の数が表示されます。
7.2: Establish a mechanism for systems with multiple users that restricts access based on a user's need to know, and is set to "deny all" unless specifically allowed.
次の要素の数が表示されます。
8.1: Identify all users with a unique username before allowing them to access system components or cardholder data.
次の要素の数が表示されます。
8.2 Employ at least one of the methods below, in addition to unique identification, to authenticate all users:
  • Password
  • Token devices
  • Biometrics
次の要素の数が表示されます。
8.3: Implement 2-factor authentication for remote access to the network by employees, administrators, and third parties.
Active Directory 経由でイネーブルになっている外部認証の数が表示されます。詳細については、 User Authentication ページのフィールドを参照してください。
8.4: Encrypt all passwords during transmission and storage, on all system components.
NCM パスワードは、ログイン時に入力するときにはマスクされ、ディスク上での転送時には暗号化されます。
8.5: Ensure proper user authentication and password management for non-consumer users and administrators, including:
  • Control the addition, deletion, and modification of user IDs, credentials, and other identifier objects.
  • Verify user identity before performing password resets.
  • Set first-time passwords to a unique value per user and change immediately after first use.
  • Remove inactive user accounts at least every 90 days.
  • Enable accounts used by vendors for remote maintenance only during the time needed.
  • Distribute password procedures and policies to all users who have access to cardholder information.
  • Do not use group, shared, or generic accounts/passwords.
  • Change user passwords at least every 90 days.
  • Require a minimum password length of at least seven characters.
  • Use passwords containing both numeric and alphabetic characters.
  • Limit repeated access attempts by locking out the user ID after not more than six attempts.
  • Set the lockout duration to thirty minutes or until administrator enables the user ID.
  • Authenticate all access to any database containing cardholder information.
次の要素の数が表示されます。
 
Regularly Monitor and Test Networks
10.1: Establish a process for linking all access to system components.
次の要素の数が表示されます。
10.2: Implement automated audit trails to reconstruct the following events:
  • All individual user accesses to cardholder data.
  • All actions taken by any individual with root or administrative privileges.
  • Access to all audit trails.
  • Invalid logical access attempts.
  • Use of identification and authentication mechanisms.
  • Initialization of the audit logs.
  • Creation and deletion of system-level objects.
次の要素の数が表示されます。
10.3: Record at least the following audit trail entries for each event:
  • User identification
  • Type of event
  • Date and time
  • Success or failure indication
  • Origination of event
  • Identity or name of affected data, system component, or resource
次の要素の数が表示されます。
  • 過去 7 日間のユーザ ログイン試行。詳細については、 イベントの説明を参照してください。
  • 過去 7 日間に失敗したユーザ ログイン試行。詳細については、 イベントの説明を参照してください。
10.4: Synchronize all critical system clocks and times.
NTP に設定されているデバイスの数が表示されます。詳細については、 デバイス詳細の表示を参照してください。
10.5: Secure audit trails so they cannot be altered, including:
  • Limit viewing of audit trails to those with a job-related need.
  • Protect audit trail files from unauthorized modifications.
  • Promptly back-up audit trail files to a centralized log server or media that is difficult to alter.
  • Copy logs for wireless networks onto a log server on the internal LAN.
  • Use file integrity monitoring/change detection software on logs to ensure that existing log data cannot be changed without generating alerts.
次の要素の数が表示されます。
 
10.6: Review logs for all system components at least daily.
30 日間保存されるログ ファイルの数が表示されます。詳細については、 Server ページのフィールドを参照してください。
10.7: Retain your audit trail history for a period that is consistent with its effective use, as well as legal
regulations.
次の項目について、保存されている数が表示されます(詳細については、 Server ページのフィールドを参照)。
  • 設定
  • 診断
  • イベント
  • タスク
  • セッション
  • ログ ファイル
11.1: Test security controls, limitations, network connections, and restrictions.
次の要素の数が表示されます。
  • すべての ACL。詳細については、 ACL の表示を参照してください。
  • 使用中の ACL。詳細については、 ACL の表示を参照してください。
  • 過去 7 日間に行われた ACL の変更。詳細については、 ACL の表示を参照してください。
11.2: Run internal and external network vulnerability scans at least quarterly and after any significant change in the network.
この要件は、NCM の適用範囲外です。
11.3: Perform penetration testing on network infrastructure and applications at least once a year and after any significant infrastructure or application upgrade or modification.
次の要素の数が表示されます。
11.4: Use network intrusion detection systems, host-based intrusion detection systems, and/or intrusion prevention systems to monitor all network traffic and alert personnel to suspected compromises.
NCM は、Intrusion Detection System(IDS; 侵入検知システム)と Intrusion Prevention System(IPS; 侵入防御システム)のモジュールを使用して、集中的かつ安全にデバイスを管理できます。
11.5: Deploy file integrity monitoring to alert personnel to unauthorized modification of critical system or content files, and perform critical file comparisons at least daily (or more frequently if the process can be automated).
次の要素の数が表示されます。
Maintain an Information Security Policy
12.2: Develop daily operational security procedures.
次の要素の数が表示されます。
12.5: Assign to an individual or team the following information security management responsibilities:
  • Establish, document, and distribute security policies and procedures.
  • Monitor and analyze security alerts and information, and distribute to appropriate personnel.
  • Establish, document, and distribute security incident response and escalation procedures to ensure timely and effective handling of all situations.
  • Administer user accounts, including additions, deletions, and modifications.
  • Monitor and control all access to data.
次の要素の数が表示されます。
12.9: Implement an incident response plan, including:
  • Create an incident response plan to be used in the event of system compromise.
  • Test the plan at least annually.
  • Designate specific personnel to be available on a 24/7 basis to respond to alerts.
  • Provide appropriate training to staff with security breach response responsibilities.
  • Include alerts from intrusion detection, intrusion prevention, and file integrity monitoring systems.
  • Have a process to modify and evolve the incident response plans.
次の要素の数が表示されます。