ISMSにおける委託先管理とは?管理する目的、ポイントを解説

「ISMSにおける委託先管理とは何か」「ISMSとして委託先管理を実施する理由・メリットは何か」「ISMSとして委託先管理を実施する際にどのような点に注意するべきなのか」など、疑問に感じている方もいらっしゃるのではないでしょうか?


本記事では、ISMSにおける委託先管理の概要から管理する目的、ポイントについて解説します。

 

1. ISMSとは

ISMSとは、自社が所有する情報の機密性・完全性・可用性を維持できるように、強固なセキュリティ体制を構築することです。

リスクマネジメントプロセスを適用することによって情報セキュリティリスクを適切に管理しているという信頼を、顧客や取引先に与えることができます。


 情報セキュリティマネジメントシステムを意味する「Information Security Management System」の頭文字を取って、ISMSと呼ばれています。

ISMSを構築する基準とされているのは、国際規格である「ISO/IEC 27001」となっています。

「ISO/IEC 27001」に則った情報セキュリティ体制を構築し、審査を受けることでISMS認証を取得することができます。

 

 

2. ISMSにおける委託先管理の目的

ISMSにおける委託先管理の目的は、委託先を経由したサイバー攻撃や不正アクセスといった情報セキュリティリスクを防ぎ、自社が所有する情報の機密性・完全性・可用性を維持することです。


自社で十分なセキュリティ対策を実施していても、委託先のセキュリティ対策に不備があれば、委託先を経由したサイバー攻撃によって被害が発生するケースがあります。

強固なセキュリティ体制を構築している大手企業でも、委託先から個人情報が漏洩してしまったという事件も後を絶ちません。


そのため、自社の情報セキュリティリスクを軽減する手法のひとつとして、委託先管理を実施する必要があるのです。

 

 

3. ISMSにおける委託先管理の要求事項

ISMSにおける委託先管理については、規格の付属書Aのうち、「A.15 供給者関係」に記載があります。

A.15.1 供給者関係における情報セキュリティ
目的: 供給者がアクセスできる組織の資産の保護を確実にするため。
A.15.1.1 供給者関係のための情報セキュリティの方針
A.15.1.2 供給者との合意におけるセキュリティの取扱い
A.15.1.3 ICT サプライチェーン
A.15.2 供給者のサービス提供の管理
目的: 供給者との合意に沿って,情報セキュリティ及びサービス提供について合意したレベルを維持するため。
A.15.2.1 供給者のサービス提供の監視及びレビュー
A.15.2.2 供給者のサービス提供の変更に対する管理

 

「A.15.1 供給者関係における情報セキュリティ」では主に契約前の情報セキュリティ方針の作成や合意について、「A.15.2 供給者のサービス提供の管理」では契約後の供給者の監視や管理について書かれています。

 

 

■A.15.1 供給者関係における情報セキュリティ

A.15.1では、供給者がアクセスできる組織の資産を保護するために、情報セキュリティ方針を策定し、それについて供給者と合意を取る必要があることが示されています。

 

「A.15.1.1供給者関係のための情報セキュリティの方針」では、供給者が自社の情報にアクセスすることに関して、情報セキュリティ要求事項を作成すべきとしています。

どの情報にどの供給者がアクセスするのか、アクセスする際の監視・管理方法、不測の事態の取り決めをしておくほか、場合によっては機密保持契約等を結ぶことも重要です。

 

「A.15.1.2供給者との合意におけるセキュリティの取扱い」は確立した要求事項について、供給者との間に誤解が生じないようる合意を取っておくことです。

 

「A.15.1.3ICT サプライチェーン」はセキュリティ要求事項を、下請企業を含めたICTサプライチェーン全体に伝達し管理する必要があるとしています。

 

 

■A.15.2 供給者のサービス提供の管理

A.15.2では、A.15.1で策定した情報セキュリティ要求事項について、それらがきちんと維持されているか監視・管理することについて書かれています。

 

「A.15.2.1供給者のサービス提供の監視及びレビュー」では、供給者のサービス提供を監視、レビュー、監査する必要があるとしています。

 

「A.15.2.2 供給者のサービス提供の変更に対する管理」はサービス提供に関する変更があった際に、その変更を管理することが望ましいとしています。

 

 

4. ISMSにおける委託先管理のポイント

ISMSにおける委託先管理のポイントは以下の通りです。

  • 情報セキュリティ方針を策定する

  • 情報セキュリティ要求事項について委託先と合意を得る

  • ICTサプライチェーン全体の管理を行う

  • 委託先を定期的に監視・評価する

  • サービス提供の変更を管理する

 

 

5. まとめ

本記事では、ISMSにおける委託先管理の概要から管理する目的、ポイントについて解説しました。


自社のセキュリティが完璧であったとしても、委託先を経由したサイバー攻撃や委託先の従業員による不正アクセスにより自社の機密情報や個人情報が漏洩してしまう可能性はあります。

委託先による自社の情報へのアクセスもしっかりと管理をして、リスク低減を目指しましょう。

 

アトミテックでは、ISMSに則った委託先管理について、コンサルティングサービスを提供しています。

必要性は認識しているが何からやったらわからない、改善したいがナレッジがない、といったお悩みがございましたらお気軽にご相談ください。