ASPサービスに関して役立つ資料などありましたら、お教え願えないでしょうか?
弊社では、ASPサービスを開発・運用しております。
その開発手法や運用方法において個人情報の取扱いやセキュリティの対策が甘かったため、現地審査の際、指摘をうけました。
恐れ入りますが、ASPサービスに関して役立つ資料などありましたら、お教え願えないでしょうか?
よろしくお願いします。
以下の資料がお役に立つかと思います。
ASP・SaaS における情報セキュリティ対策ガイドライン
(ASP・SaaS の情報セキュリティ対策に関する研究会)
このガイドラインは、ASP・SaaS 事業者が ASP・SaaS サービスを提供する際に実施すべき情報セキュリティ対策を対象としています。
JISQ27001(ISO/IEC27001)、JISQ27002(ISO/IEC27002)等は、ASP・SaaS サービス等の個別のサービスの内容や形態を念頭に置いて作成されたものではないため、ASP・SaaS 事業者がこれらの基準・規範をそのまま利活用する場合、ASP・SaaS 事業者の実態に即した情報セキュリティマネジメントが導入・運用しにくいといった問題があります。
そこで、このガイドラインでは、ASP・SaaS サービスの特性に基づいたリスクアセスメントを実施し、ASP・SaaS 事業者が実施すべき情報セキュリティ対策を取りまとめることにより、どの ASP・SaaS 事業者にも実践的で取り組みやすい対策集となっています。
プライバシーマークにおいても役に立つ内容となっているかと思います。
