受託・委託の注意点
まあ、普通は機密保持契約。次に、再委託の禁止事項。
契約が継続的な場合は、情報システム関連サービスでなくても、情報の受け渡しが有る場合は広く捕らえて、定期的な監査、重要な変化点に対する対応が必要になる。
委託先に対するセキュリティ要求事項=契約要件を整理することが必要。
<委託契約>
機密保持条項を入れること。再委託は禁止または事前に審査・承認を要求すること。随時任意の監査権を入れること。情報セキュリティ要求事項を入れること。この場合は、基本事項・共通事項に加えて、委託時の個別案件毎に設定できるよう別紙書きを前提とする。
事件事故時の緊急対応に関連する要求事項に加えて、事業継続管理の観点からの要求へも配慮したもので無ければいけない。
二兆管理レベルについても定期的な報告を求めること。
◆ 契約管理で問題になるのは、
実際の委託業務のオーナー(主管)部門と、契約管理・委託先管理の責任部門が違う場合に発生する連携の不備です。複数の部門が色々な業務をある企業に委託している場合は、どの部門が何に対して責任を負っているのかはっきりしません。業務ごとに異なる要求レベルを無視して適当なアンケートで済ます。結果もフィードバックされない。形だけ規格要求に沿う。
委託先から足元見られるのは必至。もっとも、委託先の方が大企業の場合もありますから、何から何まで言いなりとは行きません。
.*.