資本関係がない会社と同居した場合のネットワーク及びサーバー共有時における注意点は?
まったく資本関係のない会社をフロアー内に同居させた場合に関して質問です。
ドアのカギも共有し、ネットワーク、サーバーも特定ファイルを共有させ、同居する会社とは「機密保持契約の締結」のみで、すでに大家側が保持しているISMSの内容を変更せずに済まそうかと思っております。
同居する会社はISMSは取得していないのですが、別途 事細かく、セキュリティに関することを列挙した契約書を作成する必要なく済ませたいと考えております。
サーバーアクセスのID管理は 大家側が行います。
また、ネットワークへの社外からのアクセスも出来ません。
PCに関しては、大家側と同じようにウイルスソフトを入れてもらいます。
このような事を書面で残す必要はありますか。
色々と事情があるかと思いますが、ISMS的には厳しいと思います。
ISMS審査の基本は、性悪説ですが、簡易な機密保持契約の締結のみでは非常に高い確率で審査で指摘を受けるかと思います。
例えば、以下のような指摘が考えられます。
(1)まったく資本関係のない会社がフロアー内に同居
→ 物理的境界およびルール(社員の識別など)の設定は?
(2)ドアのカギも共有
→ 入退出の管理は?(カギの管理や管理者、入退出や最初入室、最終退出の記録)
(3)ネットワーク、サーバーも特定ファイルを共有
→ 共有時のルールや管理体制、アクセス制御やアクセスログの収集は?
(4)ネットワークへの社外からのアクセスも出来ません
→ 上記は同居とは関係ありません。同居者の不正に対しての対策が必要です。
ちなみに、よく審査で審査員に言われることは内部・外部のセキュルティー境界(ネットワークや物理的)でのリスクを低減するための対策が講じられているかです。