« クレジットカード業界のセキュリティ | Main | US Department of Homeland Security released "National Infrastructure Protection Plan 2006" »

2006.07.06

JIPDEC 外部委託におけるISMS適合性評価制度の活用ガイド

 こんにちは、丸山満彦です。JIPDECから「外部委託におけるISMS適合性評価制度の活用ガイド」が公表されていますね。

 目的に、「組織又は企業において情報処理業務の一部又は全てを外部委託する場合に、情報セキュリティ責任者及び担当者が委託先の選定にISMS適合性評価制度を活用するためのガイド」と書いていますね。

 また、「委託先の選定にISMS認証を活用する際には、次の3点の文書を確認することが有効である。」として、以下の3つの文書を提示している。
=====
①登録証
・認証を取得したことを証する登録証
適用範囲を定義した文書(以下、「適用範囲定義書」と呼ぶ)
・どのような範囲(組織、部門、業務、プロセス、サービス等)で認証を取得したのかを定義した文書。「適用範囲定義書」と呼ばれることが多い。
③適用宣言書
・どのような管理策を実施しているのかを宣言している文書
=====
 
 「ISMS認証取得していれば、委託先の要件を満たしている」という時代はもう終わりで、どのような範囲で、どのような管理策(Controls)を適用しているのかを確認して、委託先を選定する時代になるのでしょうね・・・。


JIPDEC
ISMS
「外部委託におけるISMS適合性評価制度の活用ガイドの公開」について

|

« クレジットカード業界のセキュリティ | Main | US Department of Homeland Security released "National Infrastructure Protection Plan 2006" »

Comments

> 「ISMS認証取得していれば、委託先の要件を満たしている」という時代はもう終わりで、どのような範囲で、どのような管理策(Controls)を適用しているのかを確認して、委託先を選定する時代になるのでしょうね・・・。

まったく同感。
というか、言いだしっぺかもしれんがw

Posted by: 佐藤慶浩 | 2006.07.07 17:42

佐藤さん、コメントありがとうございます。マネジメントプロセスだけでなく適用宣言書を審査することにISMSの意義があるのでしょうね。

Posted by: 丸山満彦 | 2006.07.09 20:01

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference JIPDEC 外部委託におけるISMS適合性評価制度の活用ガイド:

« クレジットカード業界のセキュリティ | Main | US Department of Homeland Security released "National Infrastructure Protection Plan 2006" »