セキュリティ入門Web講座

委託管理

15回前から「情報セキュリティ規程には何を書くか?」の各項目のお話をしています。
第9回の「委託管理」は、委託先の管理に関する規程です。

情報セキュリティ関連規程

広告枠・・・広告やリンク先の保証はしません

目次

情報セキュリティ関連規程」には、次の項目があります。

  1. 組織的対策
  2. 人的対策
  3. 情報資産管理
  4. アクセス制御及び認証
  5. 物理的対策
  6. IT機器利用
  7. IT基盤運用管理
  8. システム開発及び保守
  9. 委託管理
  10. 情報セキュリティインシデント対応及び事業継続管理

委託管理

広告枠・・・広告やリンク先の保証はしません

委託管理の内容

委託先の管理に関する規程です。
評価や選定、再委託先などの項目があります。

  • 委託先評価基準
  • 委託先の選定
  • 委託契約の締結
  • 委託先の評価
  • 再委託

委託先評価基準

委託先評価と言っても、情報セキュリティに関係する評価基準です。
開発の技術力や関係性など、その他の部分について決めてもよいですが、この規程で決める必要がありません。

基本的な考え方として、自組織と同等以上の情報セキュリティ対応をしていることが基準となります。
このため、
  • ISOやPマークなど、外部の標準化団体の認証を受けている
  • 情報セキュリティに関する対策対応をしている
  • 自組織で用意したチェックリストに対応している
などという判断基準を決めます。
2番目の対策・対応の場合や3番目のチェックリストの場合は、その内容も決めます。

また、対応していると判断する責任者も決めます。
この責任者は組織的対策で決めた役職名になります。

委託先の選定

委託先の評価基準に基づいて、委託先を決めるという規定を設けます。
決めた内容が基準に適合しているとした判断に誤りがないかを確認する責任者も決めます。
この責任者も役職名となります。

広告枠・・・広告やリンク先の保証はしません

委託契約の締結

委託契約を締結するときに必要な契約書に関する規定です。
必要となる条件を列挙し、契約書に盛り込まれるように決めます。

広告枠・・・広告やリンク先の保証はしません

委託先の評価

委託契約どおりに委託先で情報セキュリティが守られているかの評価を行うようにする規定です。
評価方法だけではなく、評価結果から守られていない場合もあるため、その是正措置もあらかじめ決めておきます。

再委託

委託先がさらに委託する再委託だけではなく、再委託先がさらに委託するなど、委託先の先まで考えた規定を決めます。
再委託を行ってもよいとする条件や情報漏洩が起きた場合の対処法、再委託の承認をする責任者を決めます。
この責任者も役職名となります。

次回は「情報セキュリティインシデント対応及び事業継続管理」です。

タグ:, , ,


参考記事(一部広告含む)


このページの記事についてちょっと質問!