サプライヤー管理方針
1. 目的
本方針は、{{組織名}}が取引するサプライヤー(供給者)との関係において、情報セキュリティを適切に管理することを目的とする。
2. 適用範囲
本方針は、当組織の情報資産にアクセスする、又は情報処理サービスを提供する全てのサプライヤーに適用する。
3. サプライヤー選定
3.1 事前評価
新規サプライヤーの選定時には、情報セキュリティに関する以下の事項を評価する:
- 情報セキュリティ管理体制
- 第三者認証(ISMS、Pマーク等)の取得状況
- 過去のセキュリティインシデント履歴
- 財務状況・経営安定性
3.2 セキュリティ要件
サプライヤーに対し、以下のセキュリティ要件を求める:
- 機密保持契約の締結
- 当組織のセキュリティ要件への準拠
- インシデント発生時の報告義務
- 監査への協力
4. 契約管理
4.1 契約書への記載事項
サプライヤーとの契約には、以下を含めること:
- 情報セキュリティ要件
- 機密保持義務
- 再委託の制限
- 監査権限
- 契約終了時のデータ返却・消去
4.2 サービスレベル合意(SLA)
重要なサービスについては、SLA を締結する。
5. 継続的管理
5.1 定期評価
サプライヤーのセキュリティ状況を定期的(年1回以上)に評価する。
5.2 変更管理
サプライヤーのサービス変更は、セキュリティ影響を評価した上で承認する。
6. 関連文書
改訂履歴
| 版 | 日付 | 変更内容 | 承認者 |
|---|---|---|---|
| 1.0 | {{発効日}} | 初版作成 | {{承認者}} |