このページでは、供給者の管理方法の流れについて詳細を説明します。
供給者管理は、以下の流れで進んでいきます。
- 関連記事:「供給者の管理」の概要
1. 供給者を洗い出す
まずは何より、管理の対象となる供給者を洗い出す必要があります。
ISMS担当者の協力を得ながら、供給者をリストアップしていきましょう。
供給者は、名前だけ登録されていれば問題ありません。
その他の項目(担当者・業務内容・契約開始日や終了日など)は任意項目ですので、必要に応じて追加してください。
供給者として洗い出す基準
「これは供給者なのか?」と悩んだ場合は、目的に立ち返って考えましょう。
供給者管理の目的も、最終的にはISMSの目的と同じく「情報の機密性・完全性・可用性(以下CIA)を維持すること」です。
すなわち、供給者にセキュリティインシデントが発生したときに、自組織の情報(情報資産として洗い出した情報)のCIAに影響があるかという観点で洗い出してみてください。
以下に、考え方の例をあげます。
-
自社サービスの販売を委託している販売代理店
その販売代理店で情報セキュリティインシデントが発生したときに、当社の情報のCIAに影響があるかを考えてください。
なにかノウハウや非公開の情報を渡している場合は供給者になりえますが、何も情報を渡していない場合は、供給者にならないこともあります。 -
オフィス清掃を委託している清掃業者
その業者で情報セキュリティインシデントが発生したときに、当社の情報のCIAに影響があるかを考えてください。
清掃に来たスタッフの方が情報を持ち出しするというインシデントが発生したときに、自社の情報資産に影響を及ぼすことがあるため、一般的には供給者として洗い出すことが多いです。
はい、該当します。
委託先が個人であれ法人であれ、その委託先においてセキュリティインシデントが発生したときに自社の情報資産にダメージが及ぶことに変わりはありません。
そのため、洗い出しの段階では法人・個人を問わず洗い出しを行ってください。
一方、フリーランスの方の中には、社員とほぼ同じ働き方をされているケースもあります。
その場合、社員であるか業務委託であるかで扱いを分けることに違和感を感じることもあるでしょう。
フリーランスの方を「供給者」として扱わず、ISMSの適用範囲内の人員として扱うこともできます。
詳しくは 適用範囲のヘルプページをご確認ください。
洗い出しの基準として「その委託先において、情報セキュリティインシデントが発生した場合に、自組織の情報資産にダメージがあるか」という観点で考えてください。
例えば、現在業務はお願いしていないが ”情報資産は預けたまま" の場合、インシデントが発生すると情報資産にダメージを受ける可能性があるので、洗い出しが必要です。
具体的には、委託先にPCを貸与したままだったり、業務資料やソースコードを渡したままのケースが該当します。
一方で、業務委託契約中であるが、情報資産はすべて回収しており、インシデントが発生しても自組織に一切のダメージを受けない場合、洗い出しは不要となります。
2. 供給者のモニタリングを作成する
洗い出した委託先に対して、セキュリティ状況のモニタリングを行います。
モニタリングを行うため、SecureNaviでは以下の3つの方法を用意しています。
- セキュリティに関する認証・認定制度の取得状況チェック
- IPA「5分でできる! 情報セキュリティ自社診断」【おすすめ】
- IPA「委託先情報セキュリティ対策状況確認リスト」
それぞれの内容説明、また資料の参考例も添えておりますのでご確認ください。
■セキュリティに関する認証・認定制度の取得状況チェック
セキュリティに関する認証や認定(ISMS, Pマーク など)を取得しているかどうかを確認します。
詳細なセキュリティ状況の確認はできませんが、最も手軽に実施できるモニタリング方法です。
■IPA「5分でできる! 情報セキュリティ自社診断」【おすすめ】
IPA(情報処理推進機構)が提供する、中小企業・小規模事業者向けのチェックリストです。最も汎用的に利用できる、おすすめのモニタリング方法です。 PDF形式のチェックリストは、以下からダウンロードができるため、回答の依頼もかんたんに行うことができます。
■IPA「委託先情報セキュリティ対策状況確認リスト」
IPA(情報処理推進機構)が提供する、中小企業の情報セキュリティ対策ガイドライン 付録5「情報セキュリティ関連規程(サンプル)」に記載されている「委託先情報セキュリティ対策状況確認リスト」を活用する方法です。
docx形式のファイルは以下からダウンロードできます。
モニタリングは、社内で決めたルールに従って行う必要があります。社内ルールを作成したときに、A.5.19 (旧項番:15.1.1)で供給者管理の方法について定義していますので、そのルールに従う形でモニタリング方法を決定してください。
3. 供給者のモニタリングに回答する
モニタリングに回答するには、2通りの方法があります。
✉️ 回答を依頼する
外部共有を有効化することで、外部共有用URLを発行し、SecureNaviのアカウントを持たない供給者にアンケートの回答を依頼できます。 SecureNaviから、回答を依頼するメールを送信することもできます。
外部共有用URL経由で回答を受け取った場合、モニタリングの作成者に対して、回答済みメールが届きます。
また、供給者一覧画面からモニタリング一括送信を実施することもできます。
- チェックボックスを選択した供給者へ一括送信できます(100件まで選択可能)
- メールアドレスを登録している供給者のみ選択可能です
- 一括送信モニタリングの場合は、必ず「外部共有を有効化」が有効になります
📝 自社で回答する
社内で供給者の状況を調査し、自分たちで回答ができます。供給者が大手企業などの理由から、個別での調査を受け付けてくれない場合などに利用します。
4. モニタリングの結果をもとに判断を行う
ISMS責任者は、モニタリングの結果をもとに、最終判断を行います。判断は「問題なし」「経過観察」「問題あり」から選択できます。
判断は、以下のような基準で選んでください。実際のビジネスの現場においては、仮に情報セキュリティに問題があったとしても、速やかに供給者関係(業務委託の関係)を解消できるわけではありません。そのような場合は「経過観察」を選択できます。
判断 | 基準 |
---|---|
問題なし | モニタリング結果に問題がなく、信頼できる |
経過観察 | モニタリング結果に若干の疑問が残るが、引き続き供給者の関係を続けたい |
問題あり | モニタリング結果に疑問が多くあり、供給者関係を解消する |
判断については、「80%以上の選択肢が はい なら問題無しと判断する」などのように、数値的な基準を設けても良いですし、ISMS責任者の判断に一任しても構いません。ただし、なぜ「問題なし」と判断したのか、メモを書いておくと、あとから振り返ったときに分かりやすいため、おすすめです。