情報資産の機密性・完全性・可用性を確保するためには、自組織がセキュリティ対策に取り組むだけでは不十分です。自組織以外にも、情報資産の機密性・完全性・可用性に影響を与える者がいるからです。ISMSでは、それらを「供給者」と呼んでいます。ここでは、供給者管理について見ていきます。
この記事では、以下のトピックについて説明しています。
(Pマーク用のマニュアルはこちらをご覧ください)
JIS Q 27001 対応箇所
附属書A 15
供給者とはなにか
情報資産の機能で、ISMSで管理すべき情報資産を洗い出しました。これらの情報資産を守るためには、より具体的には、これらの情報資産の機密性・完全性・可用性を維持するためには、ISMSの適用範囲内のセキュリティを強化するだけでは不十分です。
前述したとおり、組織は、様々な外部リソースに依存しています。自組織でどれだけセキュリティを完璧にしても「供給者」において情報セキュリティインシデントが発生すれば、自社の情報資産がダメージを受けてしまいます。よって、自社の情報資産のセキュリティを確保するためには、供給者管理が重要になってきます。
供給者の例を考えてみます。例えば、Webページの制作を外部に委託している可能性がありますし、システムの開発を外注している可能性もあります。法律や会計、労務などの専門的な業務を、士業の方に委託することも多いでしょう。これらはすべて「供給者」に該当します。意外と忘れがちな供給者にも注意しましょう。
供給者管理の流れ
供給者を管理するためには、まずは供給者を洗い出し、その供給者に問題がないかどうかを確認する必要があります。具体的な方法については、以下の記事を確認してください。