Evernote、Skype、Googleの無料で使えるサービスを会社で利用する場合?
ISMS取得支援パッケージに関して質問です。
Evernote、Skype、Googleの無料で使えるサービス(便利なので個人的に使っているものもあります)を会社で利用する場合にはどのようにISMSに落とし込めば良いのでしょうか?
管理策はA15.1.3あたりが該当するのかなと思いますが、ほかにも該当する箇所があるでしょうか?
またリスクの分析はどのようにすべきなのでしょう?こういったサービスは紙の契約書が存在するわけではないので、利用規約を確認するなどで十分なのでしょうか?
利用にあたっては作成すべき書類も出てくると思うので、どういったものを作成すべきでしょうか?
できましたら具体的な事例などをあげてご回答いただければ幸いです。
ちなみに実際に利用するとしても、セキュリティ面を考慮すれば、限定的な利用にとどめることになると思います。(例えば、Evernoteであれば業務にとって役立つ情報をスタッフ間で共有するとか、自分の備忘録的な利用など)
情報の範囲や使用する様式などは異なりますが、以下のサポートブログに掲載された質問と同じ考え方となります。
———-
amazon Web Serviceやgoogle Apsを利用しようかと考えておりますが、この場合も委託先として認識しないといけないのでしょうか?
———-
若干、機械的にはなりますが、ISMS文書をベースとした回答例を以下に示しますのでご参考下さい。
①情報資産として確定する
「リスクマネジメント管理規程-3 情報資産の確定」の手順に準拠し、「Evernote」、「Skype」、「Google」等の各種サービスをサービスとして分類し、「情報資産台帳」に登録。情報資産として確定する。
②リスクの分析・評価を行う
「リスクマネジメント管理規程-5 詳細リスクアセスメント」の手順に準拠し、「Evernote」、「Skype」、「Google」等の各種サービスに関わる脅威を洗出し、「脅威一覧表」へ登録。「リスクグループ分析対策表」を用いてグループのサービスとしてリスクの分析・評価を行う。
(1) 該当する管理策は
「A15.1.3 ICT サプライチェーン」を含んだ「A.15 供給者関係」になります。
(2) 脅威は
原則、自社と同等のセキュリティ対策を供給者にも求める必要があります。よって「脅威一覧表」に挙げられている脅威のほぼ全てが該当するかと思います。
大きくまとめると”セキュリティインシデントの発生”になるかと思います。
(3) 脆弱性は
上記(2)と同様で自社と同じ脆弱性のほぼ全てが該当するかと思います。
大きくまとめると、自社が供給者に要求するセキュリティ要求事項(組織、人的、物理的、技術的なセキュリティ対策)を満たしているかを判断・要求する手順が確立されていない。
(4) 対策は
手順(付属書A-A.15 供給者関係)を確立し、供給者に対して行うことになります。
大まかに言うと...
a) 契約書を締結することが可能な供給者の場合
自社が供給者に求めるセキュリティ要求事項が記載された契約書等で供給者とサービスの契約を締結させる。
※JISQ27002の「15.1.1 供給者関係のための情報セキュリティの方針-a)~m)」が、契約書に記載するセキュリティ要求事項に該当するかと思います。
また、セキュリティ要求事項として「ISMSを認証していること」とすれば、ISMSに関することは全てクリアーされていると判断しても良いかと思います。
b) 契約書を締結することが不可能な供給者の場合 (※今回、ご質問いただいたパターン)
供給者がどのようなセキュリティ対策を講じているのかをHPなどで確認し、自社が求めるレベルであるか否かで供給者を決定する。
※Evernote、Skype、Google等であればHPに記載されています。
例:googleの場合
https://www.google.com/intx/ja_JP/work/apps/business/security/
※また、EvernoteやSkypeは、セキュリティに関するWEBページが存在します。こちらも委託先評価の1つの基準になるかと思います。
▼Skypeのセキュリティに関して
http://www.skype.com/ja/security/
▼Evernoteのセキュリティに関して
https://evernote.com/intl/jp/security/
③ISMS文書へ反映(構築)する
以降は「リスクマネジメント管理規程」の「6 ベースラインリスクアセスメント」~「8 適用宣言書作成」の手順に準拠して「ギャップ分析対策表」及び「リスクグループ分析対策表」より「適用宣言書」を作成。ISMS文書を構築し運用することになります。
【まとめ】
基本はリスクアセスメントを行い供給者の評価基準を確立することになります。
評価基準としては、以下が参考例になるかと思います。
・JISQ27002の「A.15 供給者関係」に記載されている内容
・各サービスのセキュリティに関するHPなど
(例)
▼AWS(Amazon Web Service)のISO27001に関して
https://aws.amazon.com/jp/compliance/iso-27001-faqs/
▼GoogleのISO27001に関して
http://www.appsupport.jp/service/secure/
▼Skypeのセキュリティに関して
http://www.skype.com/ja/security/
▼Evernoteのセキュリティに関して
https://evernote.com/intl/jp/security/