ISO27001が推奨する133の詳細管理策の中で 第三者が提供するサービスの管理があります。 情報資産の分類には、情報・データ、ソフトウェア、 ハードウェア、サービス、人、無形資産があり、 その中のサービスに対する管理策に該当します。 ポイントは３つで、 まずセキュリティ管理策を含んだサービスレベルの合意をし、 サービスレベルに変更が発生したらその変更を適切に管理し、 要求通りサービスが提供されているか監視、レビューするのです。 この３つ目がとても重要でSLAを締結するだけでなく、 その実施状況の監視及びレビュー、さらには監査まで 管理策として定義してあることを忘れないで下さい！ つまりそれだけ外部のサービスを受けることは、 セキュリティにおけるリスクが含まれるのですね。

この投稿は 2007/09/20 9:19 PM に 一般 カテゴリーに公開されました。 この投稿へのコメントは RSS 2.0 フィードで購読することができます。 現在コメント、トラックバックともに受け付けておりません。