大規模Saas事業者や大手企業になると、チェックシートを送付しても返答がもらえない場合があります。
汎用的な回答としてのセキュリティ外策は公開していると思いますが、内容が著しく足りない場合、モニタリングは「カスタムチェックリスト」を作成いただき自社で診断することを推奨します。
以下例として、そのSaas事業者にてインシデントが発生していないか、事業継続に与える影響はどうかという重要なポイントに絞って記載します。ご参考ください。
- インシデントが発生していないこと Yes/No
- インシデントがないか、インシデントの内容は自社に影響がない Yes/No
- インシデントがないか、上記影響が運営側のアップデートにより対応され、影響がなくなった Yes/No
- 上記影響が甚大であるため、契約解除を予定する Yes/No
- 上記影響が甚大であるがリスクを受容し、自社リスクアセスメント/リスク対応にて対応計画を実施済み Yes/No
なお、この対応は、ルール「15.2.1 供給者のサービス提供監視及びレビュー」 の確認作業になりますため、 監視測定にて設定してる場合は、改めて監視測定結果も更新しましょう。