ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

Evernote、Skype、Googleの無料で使えるサービスを会社で利用する場合?

公開日:2015/11/04
ISMSサンプル文書集.  5,177 views
※本記事は、ISM Web store が作成・検証したものです。

この記事は、内容が古い可能性がありますのでご注意ください。

ISMS取得支援パッケージに関して質問です。

Evernote、Skype、Googleの無料で使えるサービス(便利なので個人的に使っているものもあります)を会社で利用する場合にはどのようにISMSに落とし込めば良いのでしょうか?

管理策はA15.1.3あたりが該当するのかなと思いますが、ほかにも該当する箇所があるでしょうか?
またリスクの分析はどのようにすべきなのでしょう?こういったサービスは紙の契約書が存在するわけではないので、利用規約を確認するなどで十分なのでしょうか?

利用にあたっては作成すべき書類も出てくると思うので、どういったものを作成すべきでしょうか?
できましたら具体的な事例などをあげてご回答いただければ幸いです。

ちなみに実際に利用するとしても、セキュリティ面を考慮すれば、限定的な利用にとどめることになると思います。(例えば、Evernoteであれば業務にとって役立つ情報をスタッフ間で共有するとか、自分の備忘録的な利用など)

ISMSサンプル文書集

文書づくりにお困りなら『ISMSサンプル文書集』

ISMSサンプル文書集は、既にISMS文書を作成されている方や書籍などを参考に独自で作成される方にでも参考になる、ISMS(ISO27001)認証取得に必要なマニュアルおよび規程書、様式を具体的に示したサンプル文書集です。

PRISM Web store

詳しくはこちら

情報の範囲や使用する様式などは異なりますが、以下のサポートブログに掲載された質問と同じ考え方となります。

———-
amazon Web Serviceやgoogle Apsを利用しようかと考えておりますが、この場合も委託先として認識しないといけないのでしょうか?
———-

若干、機械的にはなりますが、ISMS文書をベースとした回答例を以下に示しますのでご参考下さい。

①情報資産として確定する
「リスクマネジメント管理規程-3 情報資産の確定」の手順に準拠し、「Evernote」、「Skype」、「Google」等の各種サービスをサービスとして分類し、「情報資産台帳」に登録。情報資産として確定する。

②リスクの分析・評価を行う
「リスクマネジメント管理規程-5 詳細リスクアセスメント」の手順に準拠し、「Evernote」、「Skype」、「Google」等の各種サービスに関わる脅威を洗出し、「脅威一覧表」へ登録。「リスクグループ分析対策表」を用いてグループのサービスとしてリスクの分析・評価を行う。
(1) 該当する管理策は
「A15.1.3 ICT サプライチェーン」を含んだ「A.15 供給者関係」になります。
(2) 脅威は
原則、自社と同等のセキュリティ対策を供給者にも求める必要があります。よって「脅威一覧表」に挙げられている脅威のほぼ全てが該当するかと思います。
大きくまとめると”セキュリティインシデントの発生”になるかと思います。
(3) 脆弱性は
上記(2)と同様で自社と同じ脆弱性のほぼ全てが該当するかと思います。
大きくまとめると、自社が供給者に要求するセキュリティ要求事項(組織、人的、物理的、技術的なセキュリティ対策)を満たしているかを判断・要求する手順が確立されていない。
(4) 対策は
手順(付属書A-A.15 供給者関係)を確立し、供給者に対して行うことになります。
大まかに言うと...
a) 契約書を締結することが可能な供給者の場合
自社が供給者に求めるセキュリティ要求事項が記載された契約書等で供給者とサービスの契約を締結させる。
※JISQ27002の「15.1.1 供給者関係のための情報セキュリティの方針-a)~m)」が、契約書に記載するセキュリティ要求事項に該当するかと思います。
また、セキュリティ要求事項として「ISMSを認証していること」とすれば、ISMSに関することは全てクリアーされていると判断しても良いかと思います。
b) 契約書を締結することが不可能な供給者の場合 (※今回、ご質問いただいたパターン)
供給者がどのようなセキュリティ対策を講じているのかをHPなどで確認し、自社が求めるレベルであるか否かで供給者を決定する。
※Evernote、Skype、Google等であればHPに記載されています。
例:googleの場合
https://www.google.com/intx/ja_JP/work/apps/business/security/
※また、EvernoteやSkypeは、セキュリティに関するWEBページが存在します。こちらも委託先評価の1つの基準になるかと思います。
▼Skypeのセキュリティに関して
http://www.skype.com/ja/security/
▼Evernoteのセキュリティに関して
https://evernote.com/intl/jp/security/

③ISMS文書へ反映(構築)する
以降は「リスクマネジメント管理規程」の「6 ベースラインリスクアセスメント」~「8 適用宣言書作成」の手順に準拠して「ギャップ分析対策表」及び「リスクグループ分析対策表」より「適用宣言書」を作成。ISMS文書を構築し運用することになります。

【まとめ】
基本はリスクアセスメントを行い供給者の評価基準を確立することになります。
評価基準としては、以下が参考例になるかと思います。
・JISQ27002の「A.15 供給者関係」に記載されている内容
・各サービスのセキュリティに関するHPなど
(例)
▼AWS(Amazon Web Service)のISO27001に関して
https://aws.amazon.com/jp/compliance/iso-27001-faqs/
▼GoogleのISO27001に関して
http://www.appsupport.jp/service/secure/
▼Skypeのセキュリティに関して
http://www.skype.com/ja/security/
▼Evernoteのセキュリティに関して
https://evernote.com/intl/jp/security/

この記事を書いた人
ISM Web store

ISM Web store

最新規格に対応したISMSやPマーク、ISO9001のマニュアル及び規程などの文書サンプル、社員教育用テキストを作成及び販売。取得及び構築支援として、無料にてメールサポートの実施。

経歴

  • 提供年数:2000年から現在までの25年間
  • 利用者数:5,000件以上
  • 提供先業種:各種企業及び団体、ISOコンサルタント、審査員、審査員研修機関など

監修・協力

  • 提携コンサルタント:ISO27001(ISMS)、プライバシーマーク(Pマーク)、ISO9001

お問い合わせはこちら


Evernoteで名刺管理している場合
2010/11/18 プライバシーマーク全般 5,850 views
ISMSサンプル文書集
リスクグループ分析対策表(記入例)で自然災害が脅威ランク3(毎週発生する)になっている根拠は?
2016/09/06 ISMSサンプル文書集 3,630 views
ISMSサンプル文書集
適用法令の識別での遵法評価とはどのようなものでしょうか?
2009/03/23 ISMSサンプル文書集 4,736 views
ISMSサンプル文書集
リスクグループ分析対策表(記入例)について
2011/10/25 ISMSサンプル文書集 7,474 views

Store

ISMS認証取得支援パッケージ

ISMSの認証取得を支援するパッケージ。

詳しくはこちら

ISMSサンプル文書集

ISMS(ISO27001)のサンプル文書集。

詳しくはこちら

ISMS社員教育用テキスト

ISMSの社員教育用テキスト集。

詳しくはこちら

ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

詳しくはこちら

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

詳しくはこちら

対訳ISO9001:2015品質マネジメントの国際規格

対訳ISO9001:2015品質マネジメントの国際規格

詳しくはこちら