委託内容がさまざまな場合、セキュリティ事項も個別に作成する必要がありますか。
弊社では清掃やウォーターサーバやWebサイト運用などを外部委託しています。
委託内容が様々になる場合はセキュリティ事項も個別に作成する必要がありますでしょうか。
弊社で用意しているセキュリティ要求事項は主に以下のようなものです。
- データセンター自体のセキュリティ対策
- 物理的対策
- 人的対策
- 構築システムの技術的対策
- ネットワーク
- マルチテナント
- サーバ
- アプリケーション
- データ
- ログ管理
- 脆弱性対策
- バックアップ
- 外部サービス事業者の運用的対策
- セキュリティポリシー
- インシデント対応
- 監査・認証・第三者評価
特に個別に作成しなければならないとは書かれていません。
ご質問にある内容が、各委託先に対して網羅された内容であれば、問題ないかと思います。
関連する要求事項としては、「A.15.1.2 供給者との合意におけるセキュリティの取扱い」になるかと思います。
※該当するサンプル文書としては、「B07 情報セキュリティ運営管理規程」の「8.1 外部委託契約におけるセキュリティ要求事項」
ISO 27002では、「それぞれの供給者と要求事項について合意することが望ましい。」と記載されています。
ただ、それは「関連する情報セキュリティ要求事項を満たすという両当事者の義務に関し,組織と供給者との間に誤解が生じないことを確実にするため」となっており、この意図が満たせていれば、問題ないと思われます。
相手との合意も必要だと思われますので、最終的には契約書などに記載して相手の合意を得ることになるかと思います。
そういった意味では、供給者個々に条件が異なることもあるため、個別に作成する必要があるか、状況に応じた判断が必要でしょう。
