製薬業界でコンピュータ化システムを使用する企業や組織は、クラウドサービスを使用する際に、医薬品 GMP(Good Manufacturing Practice)基準におけるコンピュータ化システムのガイドラインに準拠する必要があります。CNGMPComplianceCheck コンプライアンスパッケージテンプレートは、基準の詳細と Alibaba Cloud プロダクトの設定との関係を提供します。このトピックでは、CNGMPComplianceCheck コンプライアンスパッケージテンプレートのデフォルトルールについて説明します。
ルール名 | ルールの説明 | 要件番号 | 要件の説明 |
ActionTrail にアクティブなトレイルが存在し、すべてのリージョンで生成されるすべてのタイプのイベントが追跡されている場合、評価結果は準拠していると見なされます。リソースディレクトリの管理者がすべてのメンバーに適用されるトレイルを作成した場合、評価結果は準拠していると見なされます。 |
| リスク管理は、コンピュータ化されたシステムのライフサイクル全体にわたる必要があります。患者の安全性、データ整合性、および製品の品質を考慮に入れる必要があります。品質リスク管理として、書面によるリスク評価結果に基づいて、データ整合性の必要な検証範囲と管理レベルを確認するためにリスク管理を適用する必要があります。コンピュータ化されたシステムは、コアデータを入力または検証する各オペレーターの ID を記録する必要があります。権限のあるオペレーターのみが入力データを変更できます。オペレーターが既存のコアデータを変更するたびに、操作を承認し、変更の理由を記録する必要があります。企業は、リスク評価の結果に基づいて、コンピュータ化されたシステムのデータを監査するための追跡システムを構築できます。これにより、データの入力と変更を記録できます。システムの障害または損傷を処理する方法に関する操作ガイドを作成する必要があります。必要に応じて、操作ガイドの内容を検証できます。システムの障害やデータのエラーを含むすべてのインシデントを記録し、評価する必要があります。重大なインシデントを調査し、インシデントの根本原因を特定し、必要な是正措置と予防措置を講じる必要があります。 | |
Security Center Enterprise Edition またはそれ以上のエディションが使用されている場合、評価結果は準拠していると見なされます。 |
| リスク管理は、コンピュータ化されたシステムのライフサイクル全体にわたる必要があります。患者の安全性、データ整合性、および製品の品質を考慮に入れる必要があります。品質リスク管理として、書面によるリスク評価結果に基づいて、データ整合性の必要な検証範囲と管理レベルを確認するためにリスク管理を適用する必要があります。システムの障害または損傷を処理する方法に関する操作ガイドを作成する必要があります。必要に応じて、操作ガイドの内容を検証できます。システムの障害やデータのエラーを含むすべてのインシデントを記録し、評価する必要があります。重大なインシデントを調査し、インシデントの根本原因を特定し、必要な是正措置と予防措置を講じる必要があります。 | |
Elastic Compute Service (ECS) インスタンスに Security Center エージェントをインストールして、セキュリティ保護サービスを提供できます。各 ECS インスタンスに Security Center エージェントがインストールされている場合、評価結果は準拠していると見なされます。このルールは、実行中の ECS インスタンスにのみ有効です。 | 4.7 | すべてのコンピュータ化されたシステムの詳細を含み、医薬品製造の品質管理に関連する機能の詳細を指定するインベントリを構築する必要があります。インベントリは、できるだけ早く更新する必要があります。 | |
ECS インスタンスで Security Center によって特定のタイプまたは特定のレベルの未修正の脆弱性が検出されない場合、評価結果は準拠していると見なされます。このルールは、実行中の ECS インスタンスにのみ有効です。 | 4.7 | すべてのコンピュータ化されたシステムの詳細を含み、医薬品製造の品質管理に関連する機能の詳細を指定するインベントリを構築する必要があります。インベントリは、できるだけ早く更新する必要があります。 | |
停止状態の ECS インスタンスがない場合、評価結果は準拠していると見なされます。 | 4.7 | すべてのコンピュータ化されたシステムの詳細を含み、医薬品製造の品質管理に関連する機能の詳細を指定するインベントリを構築する必要があります。インベントリは、できるだけ早く更新する必要があります。 | |
各 Elastic IP アドレス (EIP) が ECS インスタンスまたは NAT ゲートウェイにアタッチされている場合、評価結果は準拠していると見なされます。 | 4.7 | すべてのコンピュータ化されたシステムの詳細を含み、医薬品製造の品質管理に関連する機能の詳細を指定するインベントリを構築する必要があります。インベントリは、できるだけ早く更新する必要があります。 | |
各セキュリティグループに少なくとも 1 つの ECS インスタンスが追加されている場合、評価結果は準拠となります。 | 4.7 | すべてのコンピュータ化されたシステムの詳細を含み、医薬品製造の品質管理に関連する機能の詳細を指定するインベントリを構築する必要があります。インベントリは、できるだけ早く更新する必要があります。 | |
各 ApsaraDB RDS インスタンスでログバックアップ機能が有効になっている場合、評価結果は準拠していると見なされます。 |
| データ形式を変換したり、データを移行したりするときは、データの値と定義が変更されないようにしてください。オペレーターが材料の計量時に材料の重量やバッチ ID などのコアデータを入力する場合、オペレーターは入力されたレコードをレビューして正確性を確認する必要があります。レビュー操作は、別のオペレーターまたは検証済みアプリケーションによって実行できます。必要に応じて、システムのレビュー機能を設定できます。これにより、入力データの正確性が保証され、データが期待どおりに処理されるようになります。企業のデータのほとんどがデジタルである場合は、次の要件を満たす必要があります: 2. 物理的または電子的な方法を使用してデータのセキュリティを確保し、データが意図的または意図せずに損傷するのを防ぎます。コンピュータやそのアプリケーションなど、日常の運用とメンテナンスを実行するときにシステムに変更が発生した場合は、保存されているデータのアクセシビリティとデータ整合性を確認する必要があります。3. データをバックアップおよび復元する方法に関する操作ガイドを作成し、定期的にデータをバックアップして、後で使用するために保存されたデータを保護する必要があります。データバックアップは、別の安全な場所に保存する必要があります。保存期間は、標準のファイルおよびレコードの保存期間の要件を満たす必要があります。システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 PolarDB クラスターのログバックアップの保持期間が指定された日数以上である場合、評価結果は準拠していると見なされます。デフォルト値: 30。単位: 日。ログバックアップ機能が無効になっているか、バックアップ保持期間が指定された日数未満の場合、評価結果は非準拠と見なされます。 |
| データ形式を変換したり、データを移行したりするときは、データの値と定義が変更されないようにしてください。オペレーターが材料の計量時に材料の重量やバッチ ID などのコアデータを入力する場合、オペレーターは入力されたレコードをレビューして正確性を確認する必要があります。レビュー操作は、別のオペレーターまたは検証済みアプリケーションによって実行できます。必要に応じて、システムのレビュー機能を設定できます。これにより、入力データの正確性が保証され、データが期待どおりに処理されるようになります。企業のデータのほとんどがデジタルである場合は、次の要件を満たす必要があります: 2. 物理的または電子的な方法を使用してデータのセキュリティを確保し、データが意図的または意図せずに損傷するのを防ぎます。コンピュータやそのアプリケーションなど、日常の運用とメンテナンスを実行するときにシステムに変更が発生した場合は、保存されているデータのアクセシビリティとデータ整合性を確認する必要があります。3. データをバックアップおよび復元する方法に関する操作ガイドを作成し、定期的にデータをバックアップして、後で使用するために保存されたデータを保護する必要があります。データバックアップは、別の安全な場所に保存する必要があります。保存期間は、標準のファイルおよびレコードの保存期間の要件を満たす必要があります。システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 ApsaraDB for Redis インスタンスで増分バックアップ機能が有効になっている場合、評価結果は準拠していると見なされます。このルールは Tair インスタンスにのみ有効です。 |
| データ形式を変換したり、データを移行したりするときは、データの値と定義が変更されないようにしてください。オペレーターが材料の計量時に材料の重量やバッチ ID などのコアデータを入力する場合、オペレーターは入力されたレコードをレビューして正確性を確認する必要があります。レビュー操作は、別のオペレーターまたは検証済みアプリケーションによって実行できます。必要に応じて、システムのレビュー機能を設定できます。これにより、入力データの正確性が保証され、データが期待どおりに処理されるようになります。企業のデータのほとんどがデジタルである場合は、次の要件を満たす必要があります: 2. 物理的または電子的な方法を使用してデータのセキュリティを確保し、データが意図的または意図せずに損傷するのを防ぎます。コンピュータやそのアプリケーションなど、日常の運用とメンテナンスを実行するときにシステムに変更が発生した場合は、保存されているデータのアクセシビリティとデータ整合性を確認する必要があります。3. データをバックアップおよび復元する方法に関する操作ガイドを作成し、定期的にデータをバックアップして、後で使用するために保存されたデータを保護する必要があります。データバックアップは、別の安全な場所に保存する必要があります。保存期間は、標準のファイルおよびレコードの保存期間の要件を満たす必要があります。システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 Elasticsearch クラスターで自動バックアップ機能が有効になっている場合、評価結果は準拠していると見なされます。 |
| データ形式を変換したり、データを移行したりするときは、データの値と定義が変更されないようにしてください。オペレーターが材料の計量時に材料の重量やバッチ ID などのコアデータを入力する場合、オペレーターは入力されたレコードをレビューして正確性を確認する必要があります。レビュー操作は、別のオペレーターまたは検証済みアプリケーションによって実行できます。必要に応じて、システムのレビュー機能を設定できます。これにより、入力データの正確性が保証され、データが期待どおりに処理されるようになります。企業のデータのほとんどがデジタルである場合は、次の要件を満たす必要があります: 2. 物理的または電子的な方法を使用してデータのセキュリティを確保し、データが意図的または意図せずに損傷するのを防ぎます。コンピュータやそのアプリケーションなど、日常の運用とメンテナンスを実行するときにシステムに変更が発生した場合は、保存されているデータのアクセシビリティとデータ整合性を確認する必要があります。3. データをバックアップおよび復元する方法に関する操作ガイドを作成し、定期的にデータをバックアップして、後で使用するために保存されたデータを保護する必要があります。データバックアップは、別の安全な場所に保存する必要があります。保存期間は、標準のファイルおよびレコードの保存期間の要件を満たす必要があります。システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 AnalyticDB クラスターでログバックアップ機能が有効になっている場合、評価結果は準拠していると見なされます。 |
| データ形式を変換したり、データを移行したりするときは、データの値と定義が変更されないようにしてください。オペレーターが材料の計量時に材料の重量やバッチ ID などのコアデータを入力する場合、オペレーターは入力されたレコードをレビューして正確性を確認する必要があります。レビュー操作は、別のオペレーターまたは検証済みアプリケーションによって実行できます。必要に応じて、システムのレビュー機能を設定できます。これにより、入力データの正確性が保証され、データが期待どおりに処理されるようになります。企業のデータのほとんどがデジタルである場合は、次の要件を満たす必要があります: 2. 物理的または電子的な方法を使用してデータのセキュリティを確保し、データが意図的または意図せずに損傷するのを防ぎます。コンピュータやそのアプリケーションなど、日常の運用とメンテナンスを実行するときにシステムに変更が発生した場合は、保存されているデータのアクセシビリティとデータ整合性を確認する必要があります。3. データをバックアップおよび復元する方法に関する操作ガイドを作成し、定期的にデータをバックアップして、後で使用するために保存されたデータを保護する必要があります。データバックアップは、別の安全な場所に保存する必要があります。保存期間は、標準のファイルおよびレコードの保存期間の要件を満たす必要があります。システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 ApsaraDB for MongoDB インスタンスでログバックアップ機能が有効になっている場合、評価結果は準拠していると見なされます。 |
| データ形式を変換したり、データを移行したりするときは、データの値と定義が変更されないようにしてください。オペレーターが材料の計量時に材料の重量やバッチ ID などのコアデータを入力する場合、オペレーターは入力されたレコードをレビューして正確性を確認する必要があります。レビュー操作は、別のオペレーターまたは検証済みアプリケーションによって実行できます。必要に応じて、システムのレビュー機能を設定できます。これにより、入力データの正確性が保証され、データが期待どおりに処理されるようになります。企業のデータのほとんどがデジタルである場合は、次の要件を満たす必要があります: 2. 物理的または電子的な方法を使用してデータのセキュリティを確保し、データが意図的または意図せずに損傷するのを防ぎます。コンピュータやそのアプリケーションなど、日常の運用とメンテナンスを実行するときにシステムに変更が発生した場合は、保存されているデータのアクセシビリティとデータ整合性を確認する必要があります。3. データをバックアップおよび復元する方法に関する操作ガイドを作成し、定期的にデータをバックアップして、後で使用するために保存されたデータを保護する必要があります。データバックアップは、別の安全な場所に保存する必要があります。保存期間は、標準のファイルおよびレコードの保存期間の要件を満たす必要があります。システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 File Storage NAS ファイルシステムに対してバックアッププランが作成されている場合、評価結果は準拠していると見なされます。 |
| データ形式を変換したり、データを移行したりするときは、データの値と定義が変更されないようにしてください。オペレーターが材料の計量時に材料の重量やバッチ ID などのコアデータを入力する場合、オペレーターは入力されたレコードをレビューして正確性を確認する必要があります。レビュー操作は、別のオペレーターまたは検証済みアプリケーションによって実行できます。必要に応じて、システムのレビュー機能を設定できます。これにより、入力データの正確性が保証され、データが期待どおりに処理されるようになります。企業のデータのほとんどがデジタルである場合は、次の要件を満たす必要があります: 2. 物理的または電子的な方法を使用してデータのセキュリティを確保し、データが意図的または意図せずに損傷するのを防ぎます。コンピュータやそのアプリケーションなど、日常の運用とメンテナンスを実行するときにシステムに変更が発生した場合は、保存されているデータのアクセシビリティとデータ整合性を確認する必要があります。3. データをバックアップおよび復元する方法に関する操作ガイドを作成し、定期的にデータをバックアップして、後で使用するために保存されたデータを保護する必要があります。データバックアップは、別の安全な場所に保存する必要があります。保存期間は、標準のファイルおよびレコードの保存期間の要件を満たす必要があります。システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 ECS ディスクに自動スナップショットポリシーが指定されている場合、評価結果は準拠していると見なされます。 |
| データ形式を変換したり、データを移行したりするときは、データの値と定義が変更されないようにしてください。オペレーターが材料の計量時に材料の重量やバッチ ID などのコアデータを入力する場合、オペレーターは入力されたレコードをレビューして正確性を確認する必要があります。レビュー操作は、別のオペレーターまたは検証済みアプリケーションによって実行できます。必要に応じて、システムのレビュー機能を設定できます。これにより、入力データの正確性が保証され、データが期待どおりに処理されるようになります。企業のデータのほとんどがデジタルである場合は、次の要件を満たす必要があります: 2. 物理的または電子的な方法を使用してデータのセキュリティを確保し、データが意図的または意図せずに損傷するのを防ぎます。コンピュータやそのアプリケーションなど、日常の運用とメンテナンスを実行するときにシステムに変更が発生した場合は、保存されているデータのアクセシビリティとデータ整合性を確認する必要があります。3. データをバックアップおよび復元する方法に関する操作ガイドを作成し、定期的にデータをバックアップして、後で使用するために保存されたデータを保護する必要があります。データバックアップは、別の安全な場所に保存する必要があります。保存期間は、標準のファイルおよびレコードの保存期間の要件を満たす必要があります。システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 ApsaraDB for OceanBase クラスターでデータベースバックアップ機能が有効になっている場合、評価結果は準拠していると見なされます。 |
| データ形式を変換したり、データを移行したりするときは、データの値と定義が変更されないようにしてください。オペレーターが材料の計量時に材料の重量やバッチ ID などのコアデータを入力する場合、オペレーターは入力されたレコードをレビューして正確性を確認する必要があります。レビュー操作は、別のオペレーターまたは検証済みアプリケーションによって実行できます。必要に応じて、システムのレビュー機能を設定できます。これにより、入力データの正確性が保証され、データが期待どおりに処理されるようになります。企業のデータのほとんどがデジタルである場合は、次の要件を満たす必要があります: 2. 物理的または電子的な方法を使用してデータのセキュリティを確保し、データが意図的または意図せずに損傷するのを防ぎます。コンピュータやそのアプリケーションなど、日常の運用とメンテナンスを実行するときにシステムに変更が発生した場合は、保存されているデータのアクセシビリティとデータ整合性を確認する必要があります。3. データをバックアップおよび復元する方法に関する操作ガイドを作成し、定期的にデータをバックアップして、後で使用するために保存されたデータを保護する必要があります。データバックアップは、別の安全な場所に保存する必要があります。保存期間は、標準のファイルおよびレコードの保存期間の要件を満たす必要があります。システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
バージョン管理機能が無効になっている場合、データが上書きまたは削除されたときにデータを復元できない可能性があります。バージョン管理機能が有効になっている場合、評価結果は準拠していると見なされます。 |
| データ形式を変換したり、データを移行したりするときは、データの値と定義が変更されないようにしてください。オペレーターが材料の計量時に材料の重量やバッチ ID などのコアデータを入力する場合、オペレーターは入力されたレコードをレビューして正確性を確認する必要があります。レビュー操作は、別のオペレーターまたは検証済みアプリケーションによって実行できます。必要に応じて、システムのレビュー機能を設定できます。これにより、入力データの正確性が保証され、データが期待どおりに処理されるようになります。企業のデータのほとんどがデジタルである場合は、次の要件を満たす必要があります: 2. 物理的または電子的な方法を使用してデータのセキュリティを確保し、データが意図的または意図せずに損傷するのを防ぎます。コンピュータやそのアプリケーションなど、日常の運用とメンテナンスを実行するときにシステムに変更が発生した場合は、保存されているデータのアクセシビリティとデータ整合性を確認する必要があります。3. データをバックアップおよび復元する方法に関する操作ガイドを作成し、定期的にデータをバックアップして、後で使用するために保存されたデータを保護する必要があります。データバックアップは、別の安全な場所に保存する必要があります。保存期間は、標準のファイルおよびレコードの保存期間の要件を満たす必要があります。システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
ゾーン冗長ストレージ (ZRS) 機能が無効になっている場合、Object Storage Service (OSS) は、データセンターが利用できなくなったときに一貫したサービスを提供し、データ回復を保証することはできません。各 OSS バケットで ZRS 機能が有効になっている場合、評価結果は準拠していると見なされます。 |
| データ形式を変換したり、データを移行したりするときは、データの値と定義が変更されないようにしてください。オペレーターが材料の計量時に材料の重量やバッチ ID などのコアデータを入力する場合、オペレーターは入力されたレコードをレビューして正確性を確認する必要があります。レビュー操作は、別のオペレーターまたは検証済みアプリケーションによって実行できます。必要に応じて、システムのレビュー機能を設定できます。これにより、入力データの正確性が保証され、データが期待どおりに処理されるようになります。企業のデータのほとんどがデジタルである場合は、次の要件を満たす必要があります: 2. 物理的または電子的な方法を使用してデータのセキュリティを確保し、データが意図的または意図せずに損傷するのを防ぎます。コンピュータやそのアプリケーションなど、日常の運用とメンテナンスを実行するときにシステムに変更が発生した場合は、保存されているデータのアクセシビリティとデータ整合性を確認する必要があります。3. データをバックアップおよび復元する方法に関する操作ガイドを作成し、定期的にデータをバックアップして、後で使用するために保存されたデータを保護する必要があります。データバックアップは、別の安全な場所に保存する必要があります。保存期間は、標準のファイルおよびレコードの保存期間の要件を満たす必要があります。システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
Data Transmission Service (DTS) インスタンスの各同期タスクのソースデータベースとターゲットデータベースに SSL セキュア接続が使用されている場合、評価結果は準拠していると見なされます。このルールは同期タスクにのみ有効です。 |
| データ形式を変換したり、データを移行したりするときは、データの値と定義が変更されないようにしてください。オペレーターが材料の計量時に材料の重量やバッチ ID などのコアデータを入力する場合、オペレーターは入力されたレコードをレビューして正確性を確認する必要があります。レビュー操作は、別のオペレーターまたは検証済みアプリケーションによって実行できます。必要に応じて、システムのレビュー機能を設定できます。これにより、入力データの正確性が保証され、データが期待どおりに処理されるようになります。 | |
DTS インスタンスの各移行タスクのソースデータベースとターゲットデータベースに SSL セキュア接続が使用されている場合、評価結果は準拠していると見なされます。このルールは移行タスクにのみ有効です。 |
| データ形式を変換したり、データを移行したりするときは、データの値と定義が変更されないようにしてください。オペレーターが材料の計量時に材料の重量やバッチ ID などのコアデータを入力する場合、オペレーターは入力されたレコードをレビューして正確性を確認する必要があります。レビュー操作は、別のオペレーターまたは検証済みアプリケーションによって実行できます。必要に応じて、システムのレビュー機能を設定できます。これにより、入力データの正確性が保証され、データが期待どおりに処理されるようになります。 | |
各 CDN ドメイン名で Transport Layer Security (TLS) 1.3 プロトコルが有効になっている場合、評価結果は準拠していると見なされます。 |
| データ形式を変換したり、データを移行したりするときは、データの値と定義が変更されないようにしてください。オペレーターが材料の計量時に材料の重量やバッチ ID などのコアデータを入力する場合、オペレーターは入力されたレコードをレビューして正確性を確認する必要があります。レビュー操作は、別のオペレーターまたは検証済みアプリケーションによって実行できます。必要に応じて、システムのレビュー機能を設定できます。これにより、入力データの正確性が保証され、データが期待どおりに処理されるようになります。 | |
各 Elasticsearch インスタンスで HTTPS が有効になっている場合、評価結果は準拠していると見なされます。 |
| データ形式を変換したり、データを移行したりするときは、データの値と定義が変更されないようにしてください。オペレーターが材料の計量時に材料の重量やバッチ ID などのコアデータを入力する場合、オペレーターは入力されたレコードをレビューして正確性を確認する必要があります。レビュー操作は、別のオペレーターまたは検証済みアプリケーションによって実行できます。必要に応じて、システムのレビュー機能を設定できます。これにより、入力データの正確性が保証され、データが期待どおりに処理されるようになります。 | |
Function Compute 関数が、特定の TLS バージョンが有効になっているカスタムドメイン名にアタッチされている | Function Compute の各関数がカスタムドメイン名にバインドされ、その関数に対して特定のバージョンの TLS が有効になっている場合、評価結果は準拠していると見なされます。 |
| データ形式を変換したり、データを移行したりするときは、データの値と定義が変更されないようにしてください。オペレーターが材料の計量時に材料の重量やバッチ ID などのコアデータを入力する場合、オペレーターは入力されたレコードをレビューして正確性を確認する必要があります。レビュー操作は、別のオペレーターまたは検証済みアプリケーションによって実行できます。必要に応じて、システムのレビュー機能を設定できます。これにより、入力データの正確性が保証され、データが期待どおりに処理されるようになります。 |
各 PolarDB クラスターで SSL 暗号化機能が有効になっている場合、評価結果は準拠していると見なされます。 |
| データ形式を変換したり、データを移行したりするときは、データの値と定義が変更されないようにしてください。オペレーターが材料の計量時に材料の重量やバッチ ID などのコアデータを入力する場合、オペレーターは入力されたレコードをレビューして正確性を確認する必要があります。レビュー操作は、別のオペレーターまたは検証済みアプリケーションによって実行できます。必要に応じて、システムのレビュー機能を設定できます。これにより、入力データの正確性が保証され、データが期待どおりに処理されるようになります。 | |
各 ApsaraDB for Redis インスタンスで SSL 暗号化が有効になっている場合、評価結果は準拠していると見なされます。 |
| データ形式を変換したり、データを移行したりするときは、データの値と定義が変更されないようにしてください。オペレーターが材料の計量時に材料の重量やバッチ ID などのコアデータを入力する場合、オペレーターは入力されたレコードをレビューして正確性を確認する必要があります。レビュー操作は、別のオペレーターまたは検証済みアプリケーションによって実行できます。必要に応じて、システムのレビュー機能を設定できます。これにより、入力データの正確性が保証され、データが期待どおりに処理されるようになります。 | |
API Gateway でインターネットアクセスを許可する各 API のリクエストメソッドが HTTPS に設定されている場合、評価結果は準拠していると見なされます。このルールは、内部アクセスのみを許可する API には適用されません。 |
| データ形式を変換したり、データを移行したりするときは、データの値と定義が変更されないようにしてください。オペレーターが材料の計量時に材料の重量やバッチ ID などのコアデータを入力する場合、オペレーターは入力されたレコードをレビューして正確性を確認する必要があります。レビュー操作は、別のオペレーターまたは検証済みアプリケーションによって実行できます。必要に応じて、システムのレビュー機能を設定できます。これにより、入力データの正確性が保証され、データが期待どおりに処理されるようになります。 | |
各 ApsaraDB RDS インスタンスのデータセキュリティ設定で SSL 証明書機能が有効になっている場合、評価結果は準拠していると見なされます。 |
| データ形式を変換したり、データを移行したりするときは、データの値と定義が変更されないようにしてください。オペレーターが材料の計量時に材料の重量やバッチ ID などのコアデータを入力する場合、オペレーターは入力されたレコードをレビューして正確性を確認する必要があります。レビュー操作は、別のオペレーターまたは検証済みアプリケーションによって実行できます。必要に応じて、システムのレビュー機能を設定できます。これにより、入力データの正確性が保証され、データが期待どおりに処理されるようになります。 | |
使用中の各 ECS データディスクで暗号化機能が有効になっている場合、評価結果は準拠していると見なされます。 | 5.19 | 企業のデータのほとんどがデジタルである場合は、次の要件を満たす必要があります: 2. 物理的または電子的な方法を使用してデータのセキュリティを確保し、データが意図的または意図せずに損傷するのを防ぎます。コンピュータやそのアプリケーションなど、日常の運用とメンテナンスを実行するときにシステムに変更が発生した場合は、保存されているデータのアクセシビリティとデータ整合性を確認する必要があります。3. データをバックアップおよび復元する方法に関する操作ガイドを作成し、定期的にデータをバックアップして、後で使用するために保存されたデータを保護する必要があります。データバックアップは、別の安全な場所に保存する必要があります。保存期間は、標準のファイルおよびレコードの保存期間の要件を満たす必要があります。 | |
各 ApsaraDB RDS インスタンスのデータセキュリティ設定で TDE (透過的データ暗号化) 機能が有効になっている場合、評価結果は準拠していると見なされます。 | 5.19 | 企業のデータのほとんどがデジタルである場合は、次の要件を満たす必要があります: 2. 物理的または電子的な方法を使用してデータのセキュリティを確保し、データが意図的または意図せずに損傷するのを防ぎます。コンピュータやそのアプリケーションなど、日常の運用とメンテナンスを実行するときにシステムに変更が発生した場合は、保存されているデータのアクセシビリティとデータ整合性を確認する必要があります。3. データをバックアップおよび復元する方法に関する操作ガイドを作成し、定期的にデータをバックアップして、後で使用するために保存されたデータを保護する必要があります。データバックアップは、別の安全な場所に保存する必要があります。保存期間は、標準のファイルおよびレコードの保存期間の要件を満たす必要があります。 | |
各 VPN 接続で暗号化アルゴリズムが有効になっている場合、評価結果は準拠していると見なされます。 | 5.19 | 企業のデータのほとんどがデジタルである場合は、次の要件を満たす必要があります: 2. 物理的または電子的な方法を使用してデータのセキュリティを確保し、データが意図的または意図せずに損傷するのを防ぎます。コンピュータやそのアプリケーションなど、日常の運用とメンテナンスを実行するときにシステムに変更が発生した場合は、保存されているデータのアクセシビリティとデータ整合性を確認する必要があります。3. データをバックアップおよび復元する方法に関する操作ガイドを作成し、定期的にデータをバックアップして、後で使用するために保存されたデータを保護する必要があります。データバックアップは、別の安全な場所に保存する必要があります。保存期間は、標準のファイルおよびレコードの保存期間の要件を満たす必要があります。 | |
各 Elasticsearch クラスターのデータノードでディスク暗号化が有効になっている場合、評価結果は準拠していると見なされます。 | 5.19 | 企業のデータのほとんどがデジタルである場合は、次の要件を満たす必要があります: 2. 物理的または電子的な方法を使用してデータのセキュリティを確保し、データが意図的または意図せずに損傷するのを防ぎます。コンピュータやそのアプリケーションなど、日常の運用とメンテナンスを実行するときにシステムに変更が発生した場合は、保存されているデータのアクセシビリティとデータ整合性を確認する必要があります。3. データをバックアップおよび復元する方法に関する操作ガイドを作成し、定期的にデータをバックアップして、後で使用するために保存されたデータを保護する必要があります。データバックアップは、別の安全な場所に保存する必要があります。保存期間は、標準のファイルおよびレコードの保存期間の要件を満たす必要があります。 | |
各 PolarDB クラスターのデータセキュリティ設定で TDE 機能が有効になっている場合、評価結果は準拠していると見なされます。 | 5.19 | 企業のデータのほとんどがデジタルである場合は、次の要件を満たす必要があります: 2. 物理的または電子的な方法を使用してデータのセキュリティを確保し、データが意図的または意図せずに損傷するのを防ぎます。コンピュータやそのアプリケーションなど、日常の運用とメンテナンスを実行するときにシステムに変更が発生した場合は、保存されているデータのアクセシビリティとデータ整合性を確認する必要があります。3. データをバックアップおよび復元する方法に関する操作ガイドを作成し、定期的にデータをバックアップして、後で使用するために保存されたデータを保護する必要があります。データバックアップは、別の安全な場所に保存する必要があります。保存期間は、標準のファイルおよびレコードの保存期間の要件を満たす必要があります。 | |
カスタムキーを使用して各 ApsaraDB for Redis インスタンスの TDE を有効にすると、評価結果は準拠していると見なされます。 | 5.19 | 企業のデータのほとんどがデジタルである場合は、次の要件を満たす必要があります: 2. 物理的または電子的な方法を使用してデータのセキュリティを確保し、データが意図的または意図せずに損傷するのを防ぎます。コンピュータやそのアプリケーションなど、日常の運用とメンテナンスを実行するときにシステムに変更が発生した場合は、保存されているデータのアクセシビリティとデータ整合性を確認する必要があります。3. データをバックアップおよび復元する方法に関する操作ガイドを作成し、定期的にデータをバックアップして、後で使用するために保存されたデータを保護する必要があります。データバックアップは、別の安全な場所に保存する必要があります。保存期間は、標準のファイルおよびレコードの保存期間の要件を満たす必要があります。 | |
Simple Log Service の各 Logstore でデータ暗号化が有効になっている場合、評価結果は準拠していると見なされます。 | 5.19 | 企業のデータのほとんどがデジタルである場合は、次の要件を満たす必要があります: 2. 物理的または電子的な方法を使用してデータのセキュリティを確保し、データが意図的または意図せずに損傷するのを防ぎます。コンピュータやそのアプリケーションなど、日常の運用とメンテナンスを実行するときにシステムに変更が発生した場合は、保存されているデータのアクセシビリティとデータ整合性を確認する必要があります。3. データをバックアップおよび復元する方法に関する操作ガイドを作成し、定期的にデータをバックアップして、後で使用するために保存されたデータを保護する必要があります。データバックアップは、別の安全な場所に保存する必要があります。保存期間は、標準のファイルおよびレコードの保存期間の要件を満たす必要があります。 | |
ECS インスタンスの自動スナップショットが指定された日数以上保持される場合、評価結果は準拠していると見なされます。デフォルト値: 7。単位: 日。 | 5.19 | 企業のデータのほとんどがデジタルである場合は、次の要件を満たす必要があります: 2. 物理的または電子的な方法を使用してデータのセキュリティを確保し、データが意図的または意図せずに損傷するのを防ぎます。コンピュータやそのアプリケーションなど、日常の運用とメンテナンスを実行するときにシステムに変更が発生した場合は、保存されているデータのアクセシビリティとデータ整合性を確認する必要があります。3. データをバックアップおよび復元する方法に関する操作ガイドを作成し、定期的にデータをバックアップして、後で使用するために保存されたデータを保護する必要があります。データバックアップは、別の安全な場所に保存する必要があります。保存期間は、標準のファイルおよびレコードの保存期間の要件を満たす必要があります。 | |
各 RDS インスタンスで削除保護機能が有効になっている場合、評価結果は準拠していると見なされます。このルールは、サブスクリプションの ApsaraDB RDS インスタンスには適用されません。 |
| コンピュータ化されたシステムの変更は、事前に定義された操作ガイドに基づいて実行する必要があります。操作ガイドには、変更の評価、検証、レビュー、承認、および実行の手順を含める必要があります。コンピュータ化されたシステムの変更は、コンピュータ化されたシステムの一部のオーナーによって承認される必要があります。変更の詳細は記録する必要があります。主要な変更は検証する必要があります。システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 PolarDB クラスターで削除保護機能が有効になっている場合、評価結果は準拠していると見なされます。このルールは、サブスクリプションの PolarDB クラスターには適用されません。 |
| コンピュータ化されたシステムの変更は、事前に定義された操作ガイドに基づいて実行する必要があります。操作ガイドには、変更の評価、検証、レビュー、承認、および実行の手順を含める必要があります。コンピュータ化されたシステムの変更は、コンピュータ化されたシステムの一部のオーナーによって承認される必要があります。変更の詳細は記録する必要があります。主要な変更は検証する必要があります。システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 ECS インスタンスでリリース保護機能が有効になっている場合、評価結果は準拠していると見なされます。 |
| コンピュータ化されたシステムの変更は、事前に定義された操作ガイドに基づいて実行する必要があります。操作ガイドには、変更の評価、検証、レビュー、承認、および実行の手順を含める必要があります。コンピュータ化されたシステムの変更は、コンピュータ化されたシステムの一部のオーナーによって承認される必要があります。変更の詳細は記録する必要があります。主要な変更は検証する必要があります。システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 ApsaraDB for HBase クラスターで削除保護機能が有効になっている場合、評価結果は準拠していると見なされます。このルールは、サブスクリプションの ApsaraDB for HBase クラスターには適用されません。 |
| コンピュータ化されたシステムの変更は、事前に定義された操作ガイドに基づいて実行する必要があります。操作ガイドには、変更の評価、検証、レビュー、承認、および実行の手順を含める必要があります。コンピュータ化されたシステムの変更は、コンピュータ化されたシステムの一部のオーナーによって承認される必要があります。変更の詳細は記録する必要があります。主要な変更は検証する必要があります。システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 ApsaraDB for MongoDB インスタンスでリリース保護機能が有効になっている場合、評価結果は準拠していると見なされます。このルールは、サブスクリプションの MongoDB インスタンスには適用されません。 |
| コンピュータ化されたシステムの変更は、事前に定義された操作ガイドに基づいて実行する必要があります。操作ガイドには、変更の評価、検証、レビュー、承認、および実行の手順を含める必要があります。コンピュータ化されたシステムの変更は、コンピュータ化されたシステムの一部のオーナーによって承認される必要があります。変更の詳細は記録する必要があります。主要な変更は検証する必要があります。システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 ApsaraDB for Redis インスタンスでリリース保護機能が有効になっている場合、評価結果は準拠していると見なされます。このルールは、サブスクリプションの ApsaraDB for Redis インスタンスには適用されません。 |
| コンピュータ化されたシステムの変更は、事前に定義された操作ガイドに基づいて実行する必要があります。操作ガイドには、変更の評価、検証、レビュー、承認、および実行の手順を含める必要があります。コンピュータ化されたシステムの変更は、コンピュータ化されたシステムの一部のオーナーによって承認される必要があります。変更の詳細は記録する必要があります。主要な変更は検証する必要があります。システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 Server Load Balancer (SLB) インスタンスでリリース保護機能が有効になっている場合、評価結果は準拠していると見なされます。 |
| コンピュータ化されたシステムの変更は、事前に定義された操作ガイドに基づいて実行する必要があります。操作ガイドには、変更の評価、検証、レビュー、承認、および実行の手順を含める必要があります。コンピュータ化されたシステムの変更は、コンピュータ化されたシステムの一部のオーナーによって承認される必要があります。変更の詳細は記録する必要があります。主要な変更は検証する必要があります。システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
実行中の各 ECS インスタンスに CloudMonitor エージェントがインストールされ、エージェントが期待どおりに実行されている場合、評価結果は準拠していると見なされます。このルールは、実行中の ECS インスタンスにのみ有効です。 | 5.21 | システムの障害または損傷を処理する方法に関する操作ガイドを作成する必要があります。必要に応じて、操作ガイドの内容を検証できます。システムの障害やデータのエラーを含むすべてのインシデントを記録し、評価する必要があります。重大なインシデントを調査し、インシデントの根本原因を特定し、必要な是正措置と予防措置を講じる必要があります。 | |
各 ApsaraDB RDS インスタンスでイベント履歴機能が有効になっている場合、評価結果は準拠していると見なされます。 | 5.16 | コンピュータ化されたシステムは、コアデータを入力または検証する各オペレーターの ID を記録する必要があります。権限のあるオペレーターのみが入力データを変更できます。オペレーターが既存のコアデータを変更するたびに、操作を承認し、変更の理由を記録する必要があります。企業は、リスク評価の結果に基づいて、コンピュータ化されたシステムのデータを監査するための追跡システムを構築できます。これにより、データの入力と変更を記録できます。 | |
各 Alibaba Cloud アカウントで多要素認証 (MFA) が有効になっている場合、評価結果は準拠していると見なされます。 | 5.14 | 権限のあるオペレーターのみがデータを入力または変更できます。権限のないオペレーターがデータを入力するのを防ぐために、キー、暗号化カード、個人のパスワード、コンピュータへのアクセス制限などの対策を講じることができます。オペレーターがデータを入力または変更する必要がある場合に、権限付与、権限付与のキャンセル、権限付与の変更、および個人のパスワードの変更を行う方法に関するガイドラインを作成する必要があります。また、既存のシステムに、権限のないオペレーターからのシステムアクセス試行を記録する機能を設定することもできます。システムの設計上の問題によりプロセスを手動で制御できない場合は、操作ログを記録し、物理的な分離措置を講じる方法を記述した書面によるドキュメントを提供する必要があります。これにより、権限のあるオペレーターのみが必要な操作を実行できるようになります。 | |
コンソールへのアクセスが許可されている各 Resource Access Management (RAM) ユーザーのログイン設定で MFA が有効になっている場合、評価結果は準拠していると見なされます。 | 5.14 | 権限のあるオペレーターのみがデータを入力または変更できます。権限のないオペレーターがデータを入力するのを防ぐために、キー、暗号化カード、個人のパスワード、コンピュータへのアクセス制限などの対策を講じることができます。オペレーターがデータを入力または変更する必要がある場合に、権限付与、権限付与のキャンセル、権限付与の変更、および個人のパスワードの変更を行う方法に関するガイドラインを作成する必要があります。また、既存のシステムに、権限のないオペレーターからのシステムアクセス試行を記録する機能を設定することもできます。システムの設計上の問題によりプロセスを手動で制御できない場合は、操作ログを記録し、物理的な分離措置を講じる方法を記述した書面によるドキュメントを提供する必要があります。これにより、権限のあるオペレーターのみが必要な操作を実行できるようになります。 | |
各 OSS バケットのアクセス制御リスト (ACL) ポリシーがインターネットからの読み取りおよび書き込みアクセスを拒否する場合、評価結果は準拠していると見なされます。 | 5.14 | 権限のあるオペレーターのみがデータを入力または変更できます。権限のないオペレーターがデータを入力するのを防ぐために、キー、暗号化カード、個人のパスワード、コンピュータへのアクセス制限などの対策を講じることができます。オペレーターがデータを入力または変更する必要がある場合に、権限付与、権限付与のキャンセル、権限付与の変更、および個人のパスワードの変更を行う方法に関するガイドラインを作成する必要があります。また、既存のシステムに、権限のないオペレーターからのシステムアクセス試行を記録する機能を設定することもできます。システムの設計上の問題によりプロセスを手動で制御できない場合は、操作ログを記録し、物理的な分離措置を講じる方法を記述した書面によるドキュメントを提供する必要があります。これにより、権限のあるオペレーターのみが必要な操作を実行できるようになります。 | |
OSS バケットに設定された各権限付与ポリシーで匿名アカウントに読み取りおよび書き込み権限が付与されていない場合、評価結果は準拠していると見なされます。各 OSS バケットに権限付与ポリシーが設定されていない場合、評価結果は準拠していると見なされます。 | 5.14 | 権限のあるオペレーターのみがデータを入力または変更できます。権限のないオペレーターがデータを入力するのを防ぐために、キー、暗号化カード、個人のパスワード、コンピュータへのアクセス制限などの対策を講じることができます。オペレーターがデータを入力または変更する必要がある場合に、権限付与、権限付与のキャンセル、権限付与の変更、および個人のパスワードの変更を行う方法に関するガイドラインを作成する必要があります。また、既存のシステムに、権限のないオペレーターからのシステムアクセス試行を記録する機能を設定することもできます。システムの設計上の問題によりプロセスを手動で制御できない場合は、操作ログを記録し、物理的な分離措置を講じる方法を記述した書面によるドキュメントを提供する必要があります。これにより、権限のあるオペレーターのみが必要な操作を実行できるようになります。 | |
各 ECS インスタンスに RAM ロールが割り当てられている場合、評価結果は準拠していると見なされます。 | 5.14 | 権限のあるオペレーターのみがデータを入力または変更できます。権限のないオペレーターがデータを入力するのを防ぐために、キー、暗号化カード、個人のパスワード、コンピュータへのアクセス制限などの対策を講じることができます。オペレーターがデータを入力または変更する必要がある場合に、権限付与、権限付与のキャンセル、権限付与の変更、および個人のパスワードの変更を行う方法に関するガイドラインを作成する必要があります。また、既存のシステムに、権限のないオペレーターからのシステムアクセス試行を記録する機能を設定することもできます。システムの設計上の問題によりプロセスを手動で制御できない場合は、操作ログを記録し、物理的な分離措置を講じる方法を記述した書面によるドキュメントを提供する必要があります。これにより、権限のあるオペレーターのみが必要な操作を実行できるようになります。 | |
Function Compute にサービスリンクロールが設定されている場合、評価結果は準拠していると見なされます。このルールは、Alibaba Cloud アカウントの AccessKey ペアがセキュリティリスクにさらされるのを防ぎます。 | 5.14 | 権限のあるオペレーターのみがデータを入力または変更できます。権限のないオペレーターがデータを入力するのを防ぐために、キー、暗号化カード、個人のパスワード、コンピュータへのアクセス制限などの対策を講じることができます。オペレーターがデータを入力または変更する必要がある場合に、権限付与、権限付与のキャンセル、権限付与の変更、および個人のパスワードの変更を行う方法に関するガイドラインを作成する必要があります。また、既存のシステムに、権限のないオペレーターからのシステムアクセス試行を記録する機能を設定することもできます。システムの設計上の問題によりプロセスを手動で制御できない場合は、操作ログを記録し、物理的な分離措置を講じる方法を記述した書面によるドキュメントを提供する必要があります。これにより、権限のあるオペレーターのみが必要な操作を実行できるようになります。 | |
各 Container Service for Kubernetes (ACK) クラスターで RAM Roles for Service Accounts (RRSA) 機能が有効になっている場合、評価結果は準拠していると見なされます。RRSA は Pod ベースの API アクセス分離を保証します。これにより、クラウドリソースへのアクセス権限の詳細な分離を実装し、セキュリティリスクを軽減できます。 | 5.14 | 権限のあるオペレーターのみがデータを入力または変更できます。権限のないオペレーターがデータを入力するのを防ぐために、キー、暗号化カード、個人のパスワード、コンピュータへのアクセス制限などの対策を講じることができます。オペレーターがデータを入力または変更する必要がある場合に、権限付与、権限付与のキャンセル、権限付与の変更、および個人のパスワードの変更を行う方法に関するガイドラインを作成する必要があります。また、既存のシステムに、権限のないオペレーターからのシステムアクセス試行を記録する機能を設定することもできます。システムの設計上の問題によりプロセスを手動で制御できない場合は、操作ログを記録し、物理的な分離措置を講じる方法を記述した書面によるドキュメントを提供する必要があります。これにより、権限のあるオペレーターのみが必要な操作を実行できるようになります。 | |
各 RAM ユーザーに対してコンソールアクセスと API アクセス機能のいずれか一方のみが有効になっている場合、評価結果は準拠していると見なされます。 | 5.14 | 権限のあるオペレーターのみがデータを入力または変更できます。権限のないオペレーターがデータを入力するのを防ぐために、キー、暗号化カード、個人のパスワード、コンピュータへのアクセス制限などの対策を講じることができます。オペレーターがデータを入力または変更する必要がある場合に、権限付与、権限付与のキャンセル、権限付与の変更、および個人のパスワードの変更を行う方法に関するガイドラインを作成する必要があります。また、既存のシステムに、権限のないオペレーターからのシステムアクセス試行を記録する機能を設定することもできます。システムの設計上の問題によりプロセスを手動で制御できない場合は、操作ログを記録し、物理的な分離措置を講じる方法を記述した書面によるドキュメントを提供する必要があります。これにより、権限のあるオペレーターのみが必要な操作を実行できるようになります。 | |
パブリックアクセスを許可する各 Microservices Engine (MSE) クラスターで認証が有効になっている場合、評価結果は準拠していると見なされます。各 MSE クラスターがパブリックアクセスを拒否する場合、評価結果は準拠していると見なされます。 | 5.14 | 権限のあるオペレーターのみがデータを入力または変更できます。権限のないオペレーターがデータを入力するのを防ぐために、キー、暗号化カード、個人のパスワード、コンピュータへのアクセス制限などの対策を講じることができます。オペレーターがデータを入力または変更する必要がある場合に、権限付与、権限付与のキャンセル、権限付与の変更、および個人のパスワードの変更を行う方法に関するガイドラインを作成する必要があります。また、既存のシステムに、権限のないオペレーターからのシステムアクセス試行を記録する機能を設定することもできます。システムの設計上の問題によりプロセスを手動で制御できない場合は、操作ログを記録し、物理的な分離措置を講じる方法を記述した書面によるドキュメントを提供する必要があります。これにより、権限のあるオペレーターのみが必要な操作を実行できるようになります。 | |
各 RAM ユーザーが AccessKey ペアを最後に使用した時刻と現在の時刻との間の期間が指定された日数未満である場合、評価結果は準拠していると見なされます。デフォルト値: 90。単位: 日。 | 5.14 | 権限のあるオペレーターのみがデータを入力または変更できます。権限のないオペレーターがデータを入力するのを防ぐために、キー、暗号化カード、個人のパスワード、コンピュータへのアクセス制限などの対策を講じることができます。オペレーターがデータを入力または変更する必要がある場合に、権限付与、権限付与のキャンセル、権限付与の変更、および個人のパスワードの変更を行う方法に関するガイドラインを作成する必要があります。また、既存のシステムに、権限のないオペレーターからのシステムアクセス試行を記録する機能を設定することもできます。システムの設計上の問題によりプロセスを手動で制御できない場合は、操作ログを記録し、物理的な分離措置を講じる方法を記述した書面によるドキュメントを提供する必要があります。これにより、権限のあるオペレーターのみが必要な操作を実行できるようになります。 | |
各 RAM ユーザーに設定されたパスワードポリシーの設定が指定された値を満たしている場合、評価結果は準拠していると見なされます。 | 5.14 | 権限のあるオペレーターのみがデータを入力または変更できます。権限のないオペレーターがデータを入力するのを防ぐために、キー、暗号化カード、個人のパスワード、コンピュータへのアクセス制限などの対策を講じることができます。オペレーターがデータを入力または変更する必要がある場合に、権限付与、権限付与のキャンセル、権限付与の変更、および個人のパスワードの変更を行う方法に関するガイドラインを作成する必要があります。また、既存のシステムに、権限のないオペレーターからのシステムアクセス試行を記録する機能を設定することもできます。システムの設計上の問題によりプロセスを手動で制御できない場合は、操作ログを記録し、物理的な分離措置を講じる方法を記述した書面によるドキュメントを提供する必要があります。これにより、権限のあるオペレーターのみが必要な操作を実行できるようになります。 | |
各 RAM ユーザーが過去 90 日以内に少なくとも 1 回システムにログインした場合、評価結果は準拠していると見なされます。RAM ユーザーが過去 90 日以内に更新された場合、RAM ユーザーが最近システムにログインしたかどうかに関係なく、評価結果は準拠していると見なされます。このルールは、コンソールアクセス機能が有効になっている RAM ユーザーにのみ有効です。 | 5.14 | 権限のあるオペレーターのみがデータを入力または変更できます。権限のないオペレーターがデータを入力するのを防ぐために、キー、暗号化カード、個人のパスワード、コンピュータへのアクセス制限などの対策を講じることができます。オペレーターがデータを入力または変更する必要がある場合に、権限付与、権限付与のキャンセル、権限付与の変更、および個人のパスワードの変更を行う方法に関するガイドラインを作成する必要があります。また、既存のシステムに、権限のないオペレーターからのシステムアクセス試行を記録する機能を設定することもできます。システムの設計上の問題によりプロセスを手動で制御できない場合は、操作ログを記録し、物理的な分離措置を講じる方法を記述した書面によるドキュメントを提供する必要があります。これにより、権限のあるオペレーターのみが必要な操作を実行できるようになります。 | |
各 RAM ユーザーの AccessKey ペアが作成された時刻と現在の時刻との間の期間が指定された日数以下である場合、評価結果は準拠していると見なされます。デフォルト値: 90。単位: 日。 | 5.14 | 権限のあるオペレーターのみがデータを入力または変更できます。権限のないオペレーターがデータを入力するのを防ぐために、キー、暗号化カード、個人のパスワード、コンピュータへのアクセス制限などの対策を講じることができます。オペレーターがデータを入力または変更する必要がある場合に、権限付与、権限付与のキャンセル、権限付与の変更、および個人のパスワードの変更を行う方法に関するガイドラインを作成する必要があります。また、既存のシステムに、権限のないオペレーターからのシステムアクセス試行を記録する機能を設定することもできます。システムの設計上の問題によりプロセスを手動で制御できない場合は、操作ログを記録し、物理的な分離措置を講じる方法を記述した書面によるドキュメントを提供する必要があります。これにより、権限のあるオペレーターのみが必要な操作を実行できるようになります。 | |
監査ログが有効になっている場合、Redis インスタンスは準拠していると見なされます。このルールは、監査ログをサポートしていないインスタンスバージョンには適用されません。それらは適用対象外と見なされます。 | 5.16 | コンピュータ化されたシステムは、コアデータを入力または検証する各オペレーターの ID を記録する必要があります。権限のあるオペレーターのみが入力データを変更できます。オペレーターが既存のコアデータを変更するたびに、操作を承認し、変更の理由を記録する必要があります。企業は、リスク評価の結果に基づいて、コンピュータ化されたシステムのデータを監査するための追跡システムを構築できます。これにより、データの入力と変更を記録できます。 | |
各 MongoDB インスタンスで監査ログ機能が有効になっている場合、評価結果は準拠していると見なされます。 | 5.16 | コンピュータ化されたシステムは、コアデータを入力または検証する各オペレーターの ID を記録する必要があります。権限のあるオペレーターのみが入力データを変更できます。オペレーターが既存のコアデータを変更するたびに、操作を承認し、変更の理由を記録する必要があります。企業は、リスク評価の結果に基づいて、コンピュータ化されたシステムのデータを監査するための追跡システムを構築できます。これにより、データの入力と変更を記録できます。 | |
[ログ] ページで各 OSS バケットのログ記録機能が有効になっている場合、評価結果は準拠していると見なされます。 | 5.16 | コンピュータ化されたシステムは、コアデータを入力または検証する各オペレーターの ID を記録する必要があります。権限のあるオペレーターのみが入力データを変更できます。オペレーターが既存のコアデータを変更するたびに、操作を承認し、変更の理由を記録する必要があります。企業は、リスク評価の結果に基づいて、コンピュータ化されたシステムのデータを監査するための追跡システムを構築できます。これにより、データの入力と変更を記録できます。 | |
Web Application Firewall (WAF) V2.0 によって保護されている各ドメイン名でログ収集機能が有効になっている場合、評価結果は準拠していると見なされます。 | 5.16 | コンピュータ化されたシステムは、コアデータを入力または検証する各オペレーターの ID を記録する必要があります。権限のあるオペレーターのみが入力データを変更できます。オペレーターが既存のコアデータを変更するたびに、操作を承認し、変更の理由を記録する必要があります。企業は、リスク評価の結果に基づいて、コンピュータ化されたシステムのデータを監査するための追跡システムを構築できます。これにより、データの入力と変更を記録できます。 | |
各 ApsaraDB RDS for MySQL インスタンスで SQL エクスプローラーと監査機能が有効になっており、インスタンスの SQL 監査ログの保持期間が指定された日数以上である場合、評価結果は準拠していると見なされます。デフォルト値: 180。単位: 日。 | 5.16 | コンピュータ化されたシステムは、コアデータを入力または検証する各オペレーターの ID を記録する必要があります。権限のあるオペレーターのみが入力データを変更できます。オペレーターが既存のコアデータを変更するたびに、操作を承認し、変更の理由を記録する必要があります。企業は、リスク評価の結果に基づいて、コンピュータ化されたシステムのデータを監査するための追跡システムを構築できます。これにより、データの入力と変更を記録できます。 | |
各 AnalyticDB for MySQL クラスターで SQL エクスプローラーと監査機能が有効になっている場合、評価結果は準拠していると見なされます。 | 5.16 | コンピュータ化されたシステムは、コアデータを入力または検証する各オペレーターの ID を記録する必要があります。権限のあるオペレーターのみが入力データを変更できます。オペレーターが既存のコアデータを変更するたびに、操作を承認し、変更の理由を記録する必要があります。企業は、リスク評価の結果に基づいて、コンピュータ化されたシステムのデータを監査するための追跡システムを構築できます。これにより、データの入力と変更を記録できます。 | |
各 SLB インスタンスでアクセスログ機能が有効になっている場合、評価結果は準拠していると見なされます。このルールは、レイヤー 7 モニタリングが有効になっている SLB インスタンスにのみ有効です。 | 5.16 | コンピュータ化されたシステムは、コアデータを入力または検証する各オペレーターの ID を記録する必要があります。権限のあるオペレーターのみが入力データを変更できます。オペレーターが既存のコアデータを変更するたびに、操作を承認し、変更の理由を記録する必要があります。企業は、リスク評価の結果に基づいて、コンピュータ化されたシステムのデータを監査するための追跡システムを構築できます。これにより、データの入力と変更を記録できます。 | |
各 ApsaraDB RDS インスタンスがマルチゾーンアーキテクチャを使用している場合、評価結果は準拠していると見なされます。 | 5.20 | システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 ApsaraDB for Redis インスタンスがマルチゾーンアーキテクチャを使用している場合、評価結果は準拠していると見なされます。 | 5.20 | システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 SLB インスタンスがマルチゾーンアーキテクチャを使用している場合、評価結果は準拠していると見なされます。 | 5.20 | システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 ALB インスタンスがマルチゾーンアーキテクチャを使用している場合、評価結果は準拠していると見なされます。1 つのゾーンにのみインスタンスをデプロイすると、ALB インスタンスで障害が発生した場合にビジネスが中断される可能性があります。 | 5.20 | システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 MongoDB インスタンスがマルチゾーンアーキテクチャを使用している場合、評価結果は準拠していると見なされます。 | 5.20 | システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各スケーリンググループに少なくとも 2 つの vSwitch が関連付けられている場合、評価結果は準拠していると見なされます。 | 5.20 | システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各エンドポイントサービスに複数のゾーンが設定されている場合、評価結果は準拠していると見なされます。 | 5.20 | システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 PolarDB クラスターでホットスタンバイクラスター機能が有効になっており、クラスターのデータが複数のゾーンに分散している場合、評価結果は準拠していると見なされます。 | 5.20 | システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 SLB インスタンスの vServer グループの関連リソースが複数のゾーンに分散している場合、評価結果は準拠していると見なされます。このルールは、vServer グループに関連リソースがある SLB インスタンスにのみ有効です。 | 5.20 | システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 | |
各 ALB インスタンスのサーバーグループの関連リソースが複数のゾーンに分散している場合、評価結果は準拠していると見なされます。このルールは、サーバーグループに関連リソースがある ALB インスタンスにのみ有効です。 | 5.20 | システムが損傷した場合に備えて、緊急時対応計画を作成し、計画を開始する必要があります。計画の開始の適時性は、計画の開始を必要とする問題の緊急レベルに左右されます。たとえば、製品のリコールに影響を与える情報は、できるだけ早く入手する必要があります。 |