【ISMS取得企業】サプライチェーンセキュリティ機能利用の流れ
- ISMS
- 委託先管理
- 機能紹介
ISMSを取得している企業 or 取得を予定している企業様がサプライチェーンセキュリティ機能を利用される際の利用の流れをご説明します。注意点がいくつかありますので、そちらもぜひご確認ください。
- この記事でわかること
- ISMS取得企業によるサプライチェーンセキュリティ機能の使い方
- ISMS取得企業が委託先管理をおこなう際に注意したいこと
1. 委託先を「セキュリオ」に登録する
まずは、自社の委託先および委託先候補を「セキュリオ」に登録します。
参考:委託先を登録する
ISMSでは、「供給者関係」の情報セキュリティを管理する必要があります。
供給者関係とは、委託先やクラウドサービスの提供者など、組織の情報にアクセス可能な組織外の関係者を意味します。すなわち、組織の情報資産を預ける先(以下「委託先」と表記します)として適切かを管理しなければなりません。
もっとも、どこまでの範囲を委託先として管理するかは組織としての決めの問題となります。
決め方としては、委託する情報資産の重要度、委託する業務が事業上どのように位置づけられているか、といった委託に際しての情報セキュリティ上のリスクといった観点から判断していきます。重要な情報を委託する場合や主たる事業に関する業務を委託する場合などは委託先として管理する方向になります。
委託先の具体例
- 業務で利用しているクラウドサービスのサービス提供事業者
- 名刺印刷業者
- Webサイトの運営代行業者
- ソフトウェア受託開発業者
2. アンケートを作成する
委託先管理において、委託先として適切かを判断するために、情報セキュリティに関するアンケートを委託先に送付してその回答結果をもとに判断するという方法が多く取られています。
そこで、まずは委託先のセキュリティ状況をチェックするアンケートを作成します。
参考:アンケートをテンプレから作成する
多くのアンケートテンプレが存在しますので、委託先の状況に応じてお使いください。
業種ごとにアンケートテンプレートをご用意しています
- 士業向けアンケート
- 印刷会社向けアンケート
- SES企業向けアンケート
- マイナンバー受託企業向けアンケート
- 受託開発企業向けアンケート
- SaaS提供企業向けアンケート
委託先が上記以外の業種の場合は、「基本アンケート」をご使用いただければと思います。
なお、士業(税理士や社労士、弁護士など)の場合は、法律で守秘義務が課されています。この守秘義務を負っていることで、「基準を満たしている」と判断する場合は、アンケートによる評価は必須ではありません。しかしながら、単に守秘義務を負っているというだけでは情報セキュリティ対策上は不十分な場合もあるので、できる限りアンケートを実施する方が望ましいです。
委託先が大企業やクラウドサービス事業者の場合などは、アンケートを配信しても返ってこない可能性があります。そういった場合は「委託先に訪問して実地監査をする」「委託先のWebサイトにある利用規約やセキュリティポリシーを確認する」といった手段で代替も可能です。
※LRMのコンサルティングをご利用されている場合は、コンサルタントへぜひご相談ください。
3. アンケートを配信する
アンケートを用意できたら、委託先に配信します。
参考:委託先へアンケートを配信する
アンケートは、内容について把握されている方であれば、委託先の誰が回答しても構いません。
回答締切日はいつで設定すればいい?
内部監査を行う時までにアンケートを送り返してもらうのが理想的です。
具体的にいつ頃までというのは一概には言えませんが、多くの企業が、セキュリティアンケートの回答に際しては10営業日のほどの猶予を設けているケースが多いです。 悩ましい場合は、2週間先あたりで設定すればよいでしょう。
4. 回答結果を確認・評価する
委託先がアンケートへ回答したら、アンケート結果の評価をおこないます。
参考:委託先のアンケート回答情報の評価をおこなう
アンケート評価画面で、合格の場合は「OK」、不合格の場合は「NG」と入力します。
合格ラインは自由に設定することが可能です。というのも、規格で求められているのはあくまで「委託先の選定基準を定めること」だからです。
ちなみに、「セキュリオ」を提供するLRMでは、選定基準として下記のような基準をご紹介することが多いです。
- 情報区分を重要度に応じて「A情報~C情報」や「機密情報・社外秘情報・公開情報」などに分類
- A情報(機密情報)を委託する場合は、「実施済み」が9割以上
- B情報(社外秘情報)を委託する場合は、「実施済み」が7割以上
この「9割」や「7割」という合格ラインはあくまで参考値ですので、8割、あるいは全項目実施で合格というような設定ももちろん可能です。
ただし、余りにも基準を低くしてしまうと審査機関から合格ラインが低いと指摘されることもありますので、ご注意ください。
5. 委託先を評価する
アンケートの評価が終われば、その結果をもとに、最後に委託先の評価をおこないます。
参考:委託先を評価する
委託先評価は「未実施・委託OK・委託NG」という3段階で設定できるようになっていますので、委託先評価をおこなう前段階では「未実施」としていただき、委託可能と判断すれば「委託OK」、委託不可能と判断すれば「委託NG」としていただければと思います。
アンケートを実施せず委託先評価をした先については、その会社のWebサイトや、利用サービスの公式ページに公開されている利用規約等を保管しておきます。
委託先評価は1回行えばそれで終わりというわけではありません。ISMS運用に際して、委託先を適切に監督し、契約内容が適切に実行されていることを定期的、および適宜確認する必要があります。
そのため、社内で具体的な時期を定めて定期的(年1回としている会社が多いです)に再評価を行っていく必要があります。再評価では、前回未実施(対応予定)だった項目が実施されたかなどを含めて見ていき、引き続き委託先として適切かを確認します。
アンケートには不合格だけど委託したい場合は、どうすればいい?
長年取引をしている先、あるいは社長が信頼を置いている先で、アンケ―ト結果を杓子定規に自社の基準に当てはめてしまうと不合格になってしまうが、どうしても委託先として選定したい場合もあるかもしれません。そのような場合は情報セキュリティ管理者や経営陣の承認で委託先とすることもできます。
その場合は以下の手順で委託先評価を行ってください。
- アンケート評価画面で評価を「NG」とする。
- 委託先詳細の編集画面にて委託可否を「委託OK」と設定する。
- 同画面内の備考欄に「委託OK」とする理由を入力する。
委託先評価はいつまでに行えばいいの?
ISMSの認証取得時(初回)の場合は、社内で内部監査を行うときまでに委託先への評価を終えている状態がベストですが、その時までに全て終わらせるのが難しければ、審査機関による審査が行われるまででも大丈夫です。
それ以外の場合(認証を取得し実際のISMSの運用を継続している場合)は、最初に委託先として選定する際にはその都度評価し、定期的な委託先評価に関してはそれぞれのISMSのルールで定めた時期に行っていくことになります。
