サードパーティ管理ポリシー
正式文書
- PDF または正式 URL へのリンク: 英語版「Authoritative document」を参照
所管
| 項目 | 値 |
|---|---|
| 所管 | 英語版 Ownership と同じ |
| 最終確認日 | 英語版 Last reviewed と同じ |
目的
サプライヤー(外部組織またはサービスプロバイダー、ベンダー、顧客等の第三者組織を含む)と共有され、アクセス可能であり、または管理される当社のデータおよび資産を保護し、サプライヤー契約に基づき合意した水準の情報セキュリティおよびサービス提供を維持することを目的とする。
本文書は、Rendering Consulting Inc.(以下「当社」)の機密データを取り扱う際にパートナーおよびその他の第三者企業が満たすことを当社が期待するセキュリティ管理策のベースラインを定めるものである。
適用範囲
当社が所有または使用するデータおよび情報システムのうち、事業上重要であり、かつ/または機密データを処理・保存・送信するすべてのものを対象とする。本ポリシーは、当社のすべての従業員、ならびに当社のコンサルタント、請負業者、ビジネスパートナー、ベンダー、サプライヤー、パートナー、アウトソーシングサービスプロバイダー、およびその他の第三者であって、当社のデータ、システム、ネットワーク、またはシステムリソースへのアクセスを有する者に適用されるが、これらに限られない。
一般要件
サプライヤーによる当社資産へのアクセスに伴うリスクを軽減するための情報セキュリティ要件は、サプライヤーと合意の上、文書化するものとする。
当社の機密データ、システム、またはネットワークにアクセスする可能性のあるすべてのサービスプロバイダーに対しては、アクセスの付与または処理活動の開始前に、適切なデューデリジェンスを実施するものとする。
各サービスプロバイダーが管理または影響を与える規制上または認証上の要件、および当社が管理する要件について、必要に応じて情報を維持するものとする。適用される規制または認証要件には、ISO 27001、SOC 2、PCI DSS、CCPA、GDPRその他のフレームワーク、コンプライアンス基準、または規制が含まれる場合がある。
契約における情報セキュリティの明確化
機密データおよびシステムへのアクセス、処理、保存、送信、またはセキュリティへの影響を及ぼす可能性のある各サプライヤー、あるいは当社に対して物理的または仮想的なITインフラコンポーネントを提供するサプライヤーとの間で、関連する情報セキュリティ要件を定め、合意するものとする。
当社の本番システムへのアクセス、または本番環境のセキュリティに影響を与える可能性があるすべてのサービスプロバイダーとの間では、書面による合意を維持するものとする。当該合意には、会社情報および顧客データの機密性に関するサービスプロバイダーの責任の承認、ならびに当社の情報セキュリティプログラムまたは関連フレームワークに基づき当社が定めた基準および要件を満たすために管理される完全性・可用性・プライバシー管理策に関するコミットメントを含めるものとする。
テクノロジーサプライチェーン
当社は、サプライヤーおよびテクノロジーサプライチェーンに関連するリスクを考慮・評価する。必要と認められる場合、サプライヤーとの合意には、情報通信技術サービスおよび製品サプライチェーンに関連する情報セキュリティリスクへの対応要件を含めるものとする。当社は、重要な第三者サービスプロバイダーのセキュリティ態勢を記録したベンダーインベントリを維持し、少なくとも年1回これをレビューするものとする。
第三者サービスの監視・レビュー
当社は、サプライヤーによるサービス提供を定期的に監視・レビュー・監査するものとする。サプライヤーのセキュリティおよびサービス提供のパフォーマンスは、少なくとも年1回レビューするものとする。
第三者サービスの変更管理
契約、サービス、技術、ポリシー、手順、または管理策の変更を含むサプライヤーによるサービス提供の変更については、関与する業務情報、システム、およびプロセスの重要性を考慮した上で管理するものとする。当社はサプライヤーによる重要な変更のリスクを評価し、必要に応じて契約およびサービスに適切な修正を加えるものとする。
第三者リスク管理
当社は、機密データの共有または会社システムへのアクセス付与によって生じる潜在的リスクを特定・文書化し、本ポリシーに従って対処することを確保するものとする。リスク管理は、戦略的および業務的レベルにおける当社のガバナンスおよびマネジメントの不可欠な要素を構成する。パートナーおよび第三者セキュリティポリシーの目的は、パートナーシップおよびサービスが事業計画の目的・目標を達成し、かつ当社の情報セキュリティ要件と整合することを確保することにある。
当社は、第三者リスクアセスメントを実施し、期待されるサービスレベルおよび具体的な情報セキュリティ要件を定めた書面による契約・作業指示書・サービス合意書を締結することなく、機密データを第三者に共有または送信してはならない。
クラウドサービス利用における情報セキュリティ
本セクションは、クラウドサービスの利用に関連するリスクの管理および軽減のための基本的なパラメータを定める。
責任とリスク管理
クラウドサービスの利用および管理に関連する役割と責任については、「情報セキュリティの役割と責任に関するポリシー」を参照すること。クラウドサービス利用に関連する情報セキュリティリスクは、本ポリシーおよびリスク管理ポリシーに従い管理するものとする。
セキュリティ要件と管理
当社は、クラウドサービスプロバイダーの責任分担マトリクスに定められるすべての顧客側管理策について責任を負うものとする。
サービス選定と利用範囲
固有のリスクが高いプロバイダーとのクラウドサービス契約については、当社要件との整合性を確保するため、少なくとも年1回レビューを実施するものとする。
インシデント管理
クラウドサービスに関連する情報セキュリティインシデントは、インシデント対応計画に従い管理するものとする。
サービスレビューと終了戦略
終了およびベンダーロックインに関連するリスクは、ベンダーセキュリティアセスメントの一環として、導入前に評価するものとする。
プロバイダーと顧客間の合意
クラウドサービスプロバイダーとの合意には、あらかじめ定められた非交渉条件である場合においても、当社のデータおよびサービス可用性に対する保護措置を明記するものとする。可能な範囲において、当社はプロバイダーから、技術インフラの変更、データ保存場所の変更、またはサブコントラクターの利用変更を含むサービス提供に関する実質的な変更について、事前の通知を求めるものとする。
継続的な管理と保証
クラウドサービスプロバイダーが提供する情報セキュリティ上の機能の取得・活用方法に関する情報は、導入時のベンダーレビューの一環として評価するものとする。
第三者セキュリティ基準
すべての第三者は、当社が評価する合理的な組織的・技術的管理策を維持しなければならない。
機密データの受領・処理・保存を行う、または当社リソースへのアクセスを有する第三者の評価においては、提供するサービスおよび保存・処理・交換されるデータの機密性に応じて、以下の管理策を考慮するものとする。
情報セキュリティポリシー
第三者は、経営幹部の支持を受けた情報セキュリティポリシーを維持し、定期的にレビューすること。
リスクアセスメントと対応
第三者は、情報およびテクノロジーに関するリスクを評価・検討・管理するプログラムを維持すること。
運用セキュリティ
第三者は、運用セキュリティを維持するために適切に設計された合理的な商業慣行および手順を実施すること。保護策には以下が含まれる場合がある。
- 技術的テスト
- 悪意あるソフトウェアへの対策
- ネットワークの保護と管理
- 技術的脆弱性管理
- ログ取得とモニタリング
- インシデント対応
- 事業継続計画
アクセス制御
第三者は、技術的なアクセス制御プログラムを維持すること。
セキュアなシステム開発
第三者は、リスクアセスメント、正式な変更管理、コーディング標準、コードレビュー、およびテストを含む、業界のソフトウェア・システム開発のベストプラクティスに沿ったセキュアな開発プログラムを維持すること。
物理的・環境的セキュリティ
第三者が機密データを保存または処理する場合、その物理的・環境的セキュリティ管理策は当社の物理セキュリティポリシーの要件を満たすものであること。
人事
第三者は、当社の機密情報にアクセスするすべての従業員または請負業者に対するバックグラウンドチェックを、適用法令および規制に従い実施することを含む、人事ポリシーおよびプロセスを維持すること。
コンプライアンスと法的要件
当社は、機密データへのアクセス・保存・処理・送信を行うサプライヤーおよび第三者を評価する際、適用されるすべての規制および法律を考慮するものとする。第三者のアセスメントでは、以下の基準を考慮すること。
- 顧客データ、組織の記録、ならびに記録の保持および廃棄の保護
- 個人を特定できる情報(PII)のプライバシー保護
例外
本ポリシーに対する例外の申請は、承認を得るためにCEOに提出しなければならない。
違反と執行
本ポリシーに対する既知の違反はCEOに報告するものとする。本ポリシーへの違反は、会社の手続きに従い、システムおよびネットワーク権限の即時停止・剥奪、ならびに雇用の終了を含む懲戒処分の対象となる場合がある。