A.8.30 外部委託による開発
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 管理策番号 | A.8.30 |
| 分類 | 技術的管理策 |
組織は、外部委託したシステム開発活動を指揮し、監視し、レビューしなければならない。
外部委託による開発において、組織が要求するセキュリティ対策が実施されることを確実にするため。
実施の手引き
Section titled “実施の手引き”外部委託による開発の管理には、以下を含める必要がある。
- 委託先の選定と評価
- 契約でのセキュリティ要件
- 開発の監視
- 成果物の検証
委託先の選定
Section titled “委託先の選定”| 評価項目 | 内容 |
|---|---|
| セキュリティ体制 | ISMS認証、セキュリティポリシー |
| 実績 | 類似プロジェクトの経験 |
| 技術力 | セキュア開発能力 |
| 財務状況 | 事業継続性 |
| 項目 | 内容 |
|---|---|
| セキュリティ要件 | 開発標準、セキュリティ基準 |
| 機密保持 | NDA、情報の取扱い |
| 知的財産 | 著作権、ソースコードの帰属 |
| 監査権 | セキュリティ監査の実施権 |
| 責任 | 脆弱性発見時の対応責任 |
| 活動 | 内容 |
|---|---|
| 進捗管理 | 定期的な進捗確認 |
| 品質管理 | コードレビュー、テスト結果確認 |
| セキュリティ確認 | セキュリティ要件の遵守確認 |
| 成果物検証 | 受入テスト |
当社における実施状況
Section titled “当社における実施状況”当社では、開発を外部委託する場合、NDAを締結し、セキュリティ要件を契約に含めている。委託先には指定された環境での作業、最小限の権限付与、契約終了時のアカウント削除を義務付けている。
-
- システム開発及び保守
-
- 委託管理