JIPDEC 外部委託におけるISMS適合性評価制度の活用ガイド
JIPDEC 外部委託におけるISMS適合性評価制度の活用ガイド
こんにちは、丸山満彦です。JIPDECから「外部委託におけるISMS適合性評価制度の活用ガイド」が公表されていますね。
目的に、「組織又は企業において情報処理業務の一部又は全てを外部委託する場合に、情報セキュリティ責任者及び担当者が委託先の選定にISMS適合性評価制度を活用するためのガイド」と書いていますね。
また、「委託先の選定にISMS認証を活用する際には、次の3点の文書を確認することが有効である。」として、以下の3つの文書を提示している。
=====
①登録証
・認証を取得したことを証する登録証
②適用範囲を定義した文書(以下、「適用範囲定義書」と呼ぶ)
・どのような範囲(組織、部門、業務、プロセス、サービス等)で認証を取得したのかを定義した文書。「適用範囲定義書」と呼ばれることが多い。
③適用宣言書
・どのような管理策を実施しているのかを宣言している文書
=====
「ISMS認証取得していれば、委託先の要件を満たしている」という時代はもう終わりで、どのような範囲で、どのような管理策(Controls)を適用しているのかを確認して、委託先を選定する時代になるのでしょうね・・・。
