委託先管理
仕事を外部に頼む時に情報も渡ってしまいます。この情報のセキュリティをどのように確保するか。
第三者との契約における配慮事項:機密保持条項を盛り込む。関連して必要な押さえを契約、覚書等に入れる。 管理策A.6のものはどちらかと言えばワンタイム。
情報サービスなど継続する委託の場合は管理策A.10.2が該当する。
清掃業者への委託は内容的には前者だろうが、継続性を重視すれば後者の管理策を年頭においてよい。
違いは、定期的な、あるいは変化に対する監視の部分。
ISMSマニュアルで、どちらの管理策を当てるかは、拘ることは無い。要はリスク認識に対応する内容を施策としてカバーしていれば良い。一定の合理性(説明責任)については考慮しておくべきだろう。
.*.