A.5.22 供給者のサービス提供の監視、レビュー及び変更管理
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 管理策番号 | A.5.22 |
| 分類 | 組織的管理策 |
組織は、供給者の情報セキュリティの実践及びサービス提供を定常的に監視し、レビューし、監査し、変更を管理しなければならない。
供給者との合意に従って、情報セキュリティ及びサービス提供の合意されたレベルを維持するため。
実施の手引き
Section titled “実施の手引き”供給者のサービス提供の監視には、以下を含める必要がある。
- サービスレベルのパフォーマンス監視
- 供給者が作成したサービスレポートのレビュー
- 情報セキュリティインシデントの管理
- 監査証跡及び情報セキュリティイベントの記録のレビュー
供給者サービスの変更には、以下を考慮する必要がある。
- 現在の情報セキュリティ方針への影響
- ビジネスプロセスへの影響
- リスクの再評価の必要性
- 変更の承認プロセス
当社における実施状況
Section titled “当社における実施状況”供給者のサービス提供および情報セキュリティ状況については、利用継続の可否、重大な仕様変更、インシデント発生の有無等を通じて継続的に把握している。形式的な定期レビューは実施していないが、必要に応じて見直しを行う運用としている。
当社では、クラウドサービス(AWS、GCP、Google Workspace等)の利用状況を監視し、サービス提供者からの重要な通知やセキュリティアップデートを確認している。問題がなければ利用を継続し、重大な変更やインシデントがあった場合に再評価を行う。
-
- IT基盤運用管理
-
- 委託管理