この記事を読むために必要な時間は約3分(1053文字)です。
委託管理 ~ セキュリティ関連規程の記載事項について ~
- 投稿日:2020-05-11
- 最終更新日:2020-12-22
- 表示:183PV
- カテゴリ:セキュリティ関連規程
第9回の「委託管理」は、委託先の管理に関する規程です。
目次
情報セキュリティ関連規程
目次
「情報セキュリティ関連規程」には、次の項目があります。委託管理
委託管理の内容
委託先の管理に関する規程です。評価や選定、再委託先などの項目があります。
- 委託先評価基準
- 委託先の選定
- 委託契約の締結
- 委託先の評価
- 再委託
委託先評価基準
委託先評価と言っても、情報セキュリティに関係する評価基準です。開発の技術力や関係性など、その他の部分について決めてもよいですが、この規程で決める必要がありません。
基本的な考え方として、自組織と同等以上の情報セキュリティ対応をしていることが基準となります。
このため、
- ISOやPマークなど、外部の標準化団体の認証を受けている
- 情報セキュリティに関する対策・対応をしている
- 自組織で用意したチェックリストに対応している
2番目の対策・対応の場合や3番目のチェックリストの場合は、その内容も決めます。
また、対応していると判断する責任者も決めます。
この責任者は組織的対策で決めた役職名になります。
委託先の選定
委託先の評価基準に基づいて、委託先を決めるという規定を設けます。決めた内容が基準に適合しているとした判断に誤りがないかを確認する責任者も決めます。
この責任者も役職名となります。
委託契約の締結
委託契約を締結するときに必要な契約書に関する規定です。必要となる条件を列挙し、契約書に盛り込まれるように決めます。
委託先の評価
委託契約どおりに委託先で情報セキュリティが守られているかの評価を行うようにする規定です。評価方法だけではなく、評価結果から守られていない場合もあるため、その是正措置もあらかじめ決めておきます。
再委託
委託先がさらに委託する再委託だけではなく、再委託先がさらに委託するなど、委託先の先まで考えた規定を決めます。再委託を行ってもよいとする条件や情報漏洩が起きた場合の対処法、再委託の承認をする責任者を決めます。
この責任者も役職名となります。
次回は「情報セキュリティインシデント対応及び事業継続管理」です。
タグ:セキュリティ関連規程, 委託管理, 法令, 漏えい
| 広告枠・・・広告やリンク先の保証はしません | |
|---|---|