「ISMS規格をわかりやすく解読する」シリーズの22回目は、「A.15供給者管理」について見ていきたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。

A.15.1供給者管理における情報セキュリティ

早速「供給者」というよくわからない単語が出てきました。供給者とは、簡単にいえば「サービス提供元と委託先」のことです。例えば、googleのサービスを利用していれば、googleは供給者になりますし、委託先のA社に仕事を任せている場合は、A社は供給者になります。

さて、このA.15.1では、そういった供給者に対して、情報セキュリティの側面から、適切な対処をすべきである、ということが書かれています。「適切な対処」とは一体何なのかといいますと、ざっくり言うならば「供給者の選定のための方針の策定」と、「適切な契約の締結」の2つです。

はじめに、「供給者の選定のための方針の策定」を説明します。各会社それぞれに、委託先の選定方法や、サービス利用時の判断基準があると思います。実績があるから業務を依頼してみようとか、この会社の評判はあまり良くないから、委託はやめておこうとか、そういった判断基準です。ここでは、その基準を明確にしましょうということを要求しています。

供給者の選定方法として代表的なものは、「供給者がISMSやPマークなどの認証を取得している」ことや、「アンケートを送付しチェックしてもらい、基準点以上である」ことなどが挙げられます。選定方法の具体的な内容は書かれていませんので、社内で適切な方法を定めるのが良いでしょう。

次に、「適切な契約の締結」です。委託先とNDA(秘密保持契約書)を結ぶケースはよくあると思いますが、そういった契約・合意の内容に関して、トラブルにならないようにしましょう、ということが要求されています。具体的には、委託時の責任の所在の明確化、委託先の情報の取り扱いに関するルール、再委託の可否、インシデント発生時の対処について、などなど、言い出せばキリがないですが、こういった内容を契約書などに漏れ無く記載し、確実に合意するようにしましょう。

さて、初めに例え話として、googleは供給者に入る場合もあるとお話しましたが、googleが個別でNDAを締結してくれるとは思えませんし、セキュリティに関するアンケートに答えてくれるとも思いません。そういった場合はやむをえませんので、「セキュリティのアンケートが実施できない場合は、情報セキュリティ管理者が判断する」などのルールで済ませてしまうことも多いです。

A.15.2供給者のサービス提供の管理

さて、供給者として契約を結んだ後は、それらの供給者を管理し、定期的に見直す必要があります。それがこのA.15.2です。

まずは、「供給者の管理」ですが、これは、供給者が情報セキュリティの管理策をきちんと守っているか、セキュリティインシデントが発生していないかを定期的に見直しましょう、という事が書かれています。

見直しの方法は、先程も出てきた、セキュリティに関するアンケートを年に1回実施する、実地監査を実施する、などの手段が考えられます。納品物がある場合は、納品物の品質などを情報セキュリティの観点からチェックする、などという手段も良いと思います。

いずれにせよ、何らかの基準を作り、その基準を元に、供給者として適切かどうかチェックしつつ、継続的に管理していく必要があります。

次に、「供給者の見直し」ですが、先ほどの管理であまり良くない点が見つかった場合は、必要に応じて、委託する業務内容を変更したり、供給者を変更したりしましょう、といったことが書かれています。

ISMSでは、自社だけではなく、自社の情報を扱う供給者の情報セキュリティも管理する必要がありますので、自社を取り巻く供給網全体で、セキュリティレベルを向上出来るように意識していくことが大切です。

ISMS規格をわかりやすく解読する【A.15 供給者管理】

Posted in 規格解説

「ISMS規格をわかりやすく解読する」シリーズの22回目は、「A.15供給者管理」について見ていきたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。

A.15.1供給者管理における情報セキュリティ

早速「供給者」というよくわからない単語が出てきました。供給者とは、簡単にいえば「サービス提供元と委託先」のことです。例えば、googleのサービスを利用していれば、googleは供給者になりますし、委託先のA社に仕事を任せている場合は、A社は供給者になります。

さて、このA.15.1では、そういった供給者に対して、情報セキュリティの側面から、適切な対処をすべきである、ということが書かれています。「適切な対処」とは一体何なのかといいますと、ざっくり言うならば「供給者の選定のための方針の策定」と、「適切な契約の締結」の2つです。

はじめに、「供給者の選定のための方針の策定」を説明します。各会社それぞれに、委託先の選定方法や、サービス利用時の判断基準があると思います。実績があるから業務を依頼してみようとか、この会社の評判はあまり良くないから、委託はやめておこうとか、そういった判断基準です。ここでは、その基準を明確にしましょうということを要求しています。

供給者の選定方法として代表的なものは、「供給者がISMSやPマークなどの認証を取得している」ことや、「アンケートを送付しチェックしてもらい、基準点以上である」ことなどが挙げられます。選定方法の具体的な内容は書かれていませんので、社内で適切な方法を定めるのが良いでしょう。

次に、「適切な契約の締結」です。委託先とNDA(秘密保持契約書)を結ぶケースはよくあると思いますが、そういった契約・合意の内容に関して、トラブルにならないようにしましょう、ということが要求されています。具体的には、委託時の責任の所在の明確化、委託先の情報の取り扱いに関するルール、再委託の可否、インシデント発生時の対処について、などなど、言い出せばキリがないですが、こういった内容を契約書などに漏れ無く記載し、確実に合意するようにしましょう。

さて、初めに例え話として、googleは供給者に入る場合もあるとお話しましたが、googleが個別でNDAを締結してくれるとは思えませんし、セキュリティに関するアンケートに答えてくれるとも思いません。そういった場合はやむをえませんので、「セキュリティのアンケートが実施できない場合は、情報セキュリティ管理者が判断する」などのルールで済ませてしまうことも多いです。

A.15.2供給者のサービス提供の管理

さて、供給者として契約を結んだ後は、それらの供給者を管理し、定期的に見直す必要があります。それがこのA.15.2です。

まずは、「供給者の管理」ですが、これは、供給者が情報セキュリティの管理策をきちんと守っているか、セキュリティインシデントが発生していないかを定期的に見直しましょう、という事が書かれています。

見直しの方法は、先程も出てきた、セキュリティに関するアンケートを年に1回実施する、実地監査を実施する、などの手段が考えられます。納品物がある場合は、納品物の品質などを情報セキュリティの観点からチェックする、などという手段も良いと思います。

いずれにせよ、何らかの基準を作り、その基準を元に、供給者として適切かどうかチェックしつつ、継続的に管理していく必要があります。

次に、「供給者の見直し」ですが、先ほどの管理であまり良くない点が見つかった場合は、必要に応じて、委託する業務内容を変更したり、供給者を変更したりしましょう、といったことが書かれています。

ISMSでは、自社だけではなく、自社の情報を扱う供給者の情報セキュリティも管理する必要がありますので、自社を取り巻く供給網全体で、セキュリティレベルを向上出来るように意識していくことが大切です。

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする