第三者が提供するサービスの管理

ISO27001が推奨する133の詳細管理策の中で 第三者が提供するサービスの管理があります。 情報資産の分類には、情報・データ、ソフトウェア、 ハードウェア、サービス、人、無形資産があり、 その中のサービスに対する管理策に該当します。 ポイントは3つで、 まずセキュリティ管理策を含んだサービスレベルの合意をし、 サービスレベルに変更が発生したらその変更を適切に管理し、 要求通りサービスが提供されているか監視、レビューするのです。 この3つ目がとても重要でSLAを締結するだけでなく、 その実施状況の監視及びレビュー、さらには監査まで 管理策として定義してあることを忘れないで下さい! つまりそれだけ外部のサービスを受けることは、 セキュリティにおけるリスクが含まれるのですね。

コメントは受け付けていません。

Categories
Bookmarks
Search
Archive