現代の企業、組織は、外部のさまざまな人的リソース、コンサルティングサービス、設備・運用・保守サービス、ICTサービス、外部委託によるシステム開発を活用し、事業活動を行なっています。
これら外部のリソース、サービスを総称してここでは供給者と呼びます。
これらの供給者は事業活動を協同して行なう必要があるため、組織内部の情報資産にアクセスする必要が出てきます。
そのため、これらに対する情報セキュリティ管理策が必要になります。
供給者関係の管理策
供給者関係のための情報セキュリティ
供給者関係のための情報セキュリティの方針
- 組織の資産に対する供給者のアクセスに関連するリスクを軽減するための情報セキュリティ要求事項について、供給者と合意し、文書化しなければならない
供給者との合意におけるセキュリティの取り扱い
- 関連するすべての情報セキュリティ要求事項を確立しなければならず、また、組織の情報に対して、アクセス、処理保存もしくは通信を行なう、または組織の情報のためのIT基盤を提供する可能性のあるそれぞれの供給者と、この要求事項について合意しなければならない
ICTサプライチェーン
- 供給者との合意には、情報通信技術(ICT)サービス及び製品のサプライチェーンに関連する情報セキュリティリスクに対処するための要求事項を含めなければならない
供給者のサービス提供の管理
供給者のサービス提供の監視及びレビュー
- 組織は、供給者のサービス提供を定常的に監視し、レビューし、監査しなければならない
供給者のサービス提供の変更に対する管理
- 関連する業務情報、業務システム及び業務プロセスの重要性、並びにリスクの再評価を考盧して、供給者によるサービス提供の変更(現行の情報セキュリティの方針群、手順及び管理策の保守及び改善を含む)を管理しなければならない
まず供給者に対する管理策として、自組織における供給者への情報セキュリティの基本方針を明確にする必要があります。
外部に情報セキュリティ方針を表明しておくこと、供給者に対する基本契約書のひな形の準備、個別の契約にあたってはひな形に準拠して行なう内部手続きの整備、これらを行なうことなどが該当します。
次に、実際に各供給者との間で情報資産へのアクセスが行われる事によって生ずるリスク軽減のための情報セキュリティの要求事項に関して合意、文書化することが必要です。
この合意に関しては、特に組織の情報そのもの(転送、蓄積、処理)を取り扱う、通信事業者、データセンター事業者、クラウド事業者も含みます。
特に注意すべき合意点
- 契約義務
- SLA(Service Level Agreement)
- 法的要求事項の順守及び問題が発生した場合の責任
- 知的財産の扱い
- 再委託への制限及びセキュリティ管理策
- 契約の見直しや打ち切りのための条件
など
供給者のサービスは継続的に実施される場合がほとんどですが、このことに対する管理策も必要となります。
サービスの提供状況監視、定期的なサービスリポートや監査の入手とレビューによって、情報セキュリティリスクが生じていないかを評価、問題があるような場合は監査の実施、といったことが必要になります。
供給者のサービス提供の変更もありますが、その場合には変更に関連するセキュリティ方針、標準、手続きなどへの影響を精査して対策をとる必要があるでしょう。
関連記事
情報セキュリティの人的・組織的対策① 組織の構造と情報セキュリティ
情報セキュリティの人的・組織的対策⑤ 法的、契約上の要求への対応
情報セキュリティの人的・組織的対策⑥ 人的資源の情報セキュリティ
情報セキュリティの人的・組織的対策⑦ 人的資源に対する管理策