セキュリティガバナンスプログラム

ガバナンスとフィールドセキュリティチームの憲章

ミッション

GRCの「G」、つまりGitLabのセキュリティガバナンス領域は、部門や機能横断で機能するプロセスとプラクティスのセットを作成することによって、セキュリティ戦略を定義・トレーニングし、セキュリティ目標に向けた進捗を測定するのに役立ちます。ガバナンスフレームワークに従うことで、GitLabは会社の運営方法とステークホルダーとのコミュニケーション方法において、アカウンタビリティ、公平性、透明性を確保します。

コアコンピテンシー

これらはセキュリティガバナンス領域の中核的な責任です。

セキュリティポリシーと標準

組織を軌道に乗せ、確立された境界内に保つことで、適用される法律と規制への準拠を確保しつつ、GitLabの情報セキュリティポリシーを維持します。内部プロセスを合理化し、GitLabの価値観とミッションに沿わせるためのガイダンス、一貫性、アカウンタビリティを提供します。

セキュリティハンドブックのメンテナンス

セキュリティガバナンスは、GitLabのハンドブック内の security セクションの継続的な維持と改善に責任を負います。これには、管理対象ドキュメントの作成と維持、securityセクションの全体構造の維持、コンテンツの関連性と正確性、GitLabのスタイルガイドとの整合性が含まれます。ハンドブックのsecurityセクションへの更新を依頼するには、以下のリンクを使ってIssueを開いてください。

Security Handbook Request

セキュリティアシュアランスメトリクス

セキュリティガバナンスは、セキュリティアシュアランス部門全体のメトリクスの開発、実装、維持をサポートします。

規制およびコンプライアンス情勢のモニタリング

GitLabの規制およびコンプライアンス要件をサポートするために、セキュリティガバナンスチームはこれらの要件への変更について四半期ごとにモニタリングを実施します。重要な変更は、トリアージとアクションのために関連するチームメンバーに報告されます。

GCFコントロールメンテナンス

GCFコントロールフレームワークの維持。これには、言語、ポリシーマッピング、関連性の更新が含まれます。

セキュリティコンプライアンストレーニング

GitLabチームメンバーがセキュリティの中核コンピテンシーを認識し、トレーニングを受けていることを保証するためのセキュリティコンプライアンストレーニングの作成と管理。

GRCアプリケーション管理

セキュリティアシュアランスチームが日々のプロセスと戦略的イニシアチブをサポートするために使用するさまざまなツールの管理。

• 構成変更
• ユーザーアクセス管理
• アップグレード/パッチ適用/インシデント/復元
• 高レベル品質監督
• など

私たちは、コントロールテスト、UAR、ベンダーレビュー、リスク評価など、GAS内のすべてのコンプライアンス活動の中核コンピテンシーに関連する日々の活動を実行するための管理とガイダンスを提供します。私たちはビジネスプロセスを自動化、統合、合理化することを目指しており、GitLabの情報セキュリティプログラムの成熟度を高め、測定可能なROIを提供します。

チームへの問い合わせ

Joe Longo、@jlongo_gitlab、Senior Manager, Governance and Field Security

• Controlled Documents
• セキュリティコンプライアンストレーニング
• GCFコントロールメンテナンス
• 規制およびコンプライアンス情勢のモニタリング
• セキュリティハンドブックのメンテナンス

参考資料

• セキュリティコンプライアンスコントロール
• Controlled Document Procedure

セキュリティアシュアランスのホームページに戻る

ページのソースコードを見る - ページの編集 - please contribute.