PR

6.社外組織(顧客及び取引先等)のセキュリティ

セキュリティマニュアル

ここでは、「情報セキュリティマニュアル 管理者編」のうち、

「Ⅲ.情報システム室の職務」の

「6.社外組織(顧客及び取引先等)のセキュリティ」について紹介します。

情報セキュリティマニュアル全体の構成については、以下をご参照ください。

情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインのまとめ
認証取得目的ではなくISMSを利用した情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインの一例です。ISO27001の要求事項については目次までですが付属書Aについては利用者と管理者に分けて作成しています。
スポンサーリンク

Ⅲ.情報システム室の職務

6.社外組織(顧客及び取引先等)のセキュリティ

6.1 第三者のアクセスから生じるリスクの識別

第三者に対し、当社のファシリティ又は情報資産へのアクセスについては、「情報セキュリティマニュアル」に定める。

参照:4.3 顧客及び取引先等対応におけるセキュリティ

スポンサーリンク

6.2 顧客対応におけるセキュリティ

(1)情報システム室は、「8.9.3 外部に公開している情報」に従い、外部に公開している情報システム及び情報を適切に保護する。

(2)応接室等の不特定の第三者が出入りするファシリティについて、次の事項を遵守する。

  • 当該ファシリティのファシリティ管理責任者は、当該ファシリティのセキュリティレベルに応じ、適切な物理セキュリティ処置を行う。
  • 情報システム室は、不特定の第三者が出入りするファシリティ内に構築するネットワークについて、当社の社内ネットワークに接続せず独立した環境を構築するとともに、第三者が社内ネットワークに接続できないよう必要な処置を講じる。
スポンサーリンク

6.3 第三者との契約におけるセキュリティ要求事項

(1)第三者に通常アクセスを許可していない当社のファシリティ又は情報資産に対して、業務遂行上の理由により第三者にアクセスを許可する必要がある場合、当該業務を主管する組織の部署長は、次の事項を遵守する。

  • 当該アクセスを許可する理由が、委託業務又は委託開発の遂行である場合は、当該業務又は開発の委託先との間で、必要なセキュリティ要求事項を盛り込んだ業務委託契約又は開発委託契約を締結する。
    • 原則として、管理部が定める標準契約書を使用する。
    • 標準契約書が外部委託案件の内容にそぐわないと判断するとき、又は外部委託先に標準契約書による契約締結を拒否されたときは、管理部の指示を仰ぐものとする。
  • 前項の場合において、個人情報保護対応の標準契約書が制定される以前に契約を締結した等の事由により既存の業務委託契約又は開発委託契約に個人情報保護の条項が含まれていない場合は、別途個人情報の取扱いに関する覚書等を締結する。
  • 成約に至る前の営業活動等、契約を伴わない場合は、情報資産にアクセスさせる前に秘密保持契約を締結するか、又は秘密保持の念書を先方から提出させる。
    • 原則として、管理部が定める標準秘密保持契約書又は秘密保持の念書を使用する。
    • 標準秘密保持契約書又は秘密保持の念書が案件の内容にそぐわないと判断するとき、又は先方に標準秘密保持契約書による契約締結又は秘密保持の念書の提出を拒否されたときは、管理部の指示を仰ぐものとする。
  • 第三者に対して、ファシリティへのアクセスに関する「7.1 物理セキュリティ対策」の定めを遵守させる。
  • 第三者に対して、情報資産へのアクセスに関する情報セキュリティ規程の定めを遵守させる。

(2)当社の社内情報システムもしくは社内ネットワークに対する管理者権限の付与を伴う業務、又は秘密情報もしくは個人情報データベースの取扱いに伴う業務を外部委託する組織の部署長は、次の事項を遵守する。

  • 前項第1号に従い、業務委託契約又は開発委託契約を締結する。
  • 外部委託先と締結する業務委託契約又は開発委託契約には、「4.4 雇用に関する秘密保持契約(2)」に規定されたセキュリティ要求事項の要件に関する条項を含める。
    • 当事者双方のセキュリティ責任を明確にするための取決め
    • 委託業務の過程で取り扱う当社の情報資産に対する機密性、完全性及び可用性を維持するための安全管理対策
    • 再下請の制限(禁止、事前の書面による許可制等)に関する事項
    • 個人情報を取り扱う場合は、個人情報保護に関する事項
    • 当社の外部委託先の情報セキュリティに対する監査権の保持
    • 当事者双方の合意に基づき、セキュリティ要求事項を拡大できる。

(3)外部委託先に預託する、又はアクセスさせる当社の情報資産の安全管理対策の詳細については、当該情報資産の重要度に応じて、具体的な取決めをする。

まとめ

ここでは、「情報セキュリティマニュアル 管理者編」のうち、

「Ⅲ.情報システム室の職務」の

「6.社外組織(顧客及び取引先等)のセキュリティ」について、以下の内容を説明しました。

  • 第三者のアクセスから生じるリスクの識別
  • 顧客対応におけるセキュリティ
  • 第三者との契約におけるセキュリティ要求事項
タイトルとURLをコピーしました