客先常駐型システム開発・運用会社におけるISMS取得のポイント

この記事は約4分で読めます。

客先常駐型システム開発・運用会社でのISMS取得は業界的に多いのか?

開発だけでも様々な種類の形態が存在します。
その中で、「客先常駐型システム開発・運用」はお客様先に常駐し、お客様のルールに従い、企画・設計・実装・運用までを行います。

ISMSISO/IEC 27001という規格に対する準拠性を確認するもので、規格のセクションの1つに「A15 供給者関係」があります。

このセクションでは、業務委託する事業者、あるいは情報を預ける事業者(GSuite、Dropbox 等)に対し、確認しておくべきチェック項目が記載されています。
そのため、既にISMS認証取得しているお客様から「情報資産を適切に取り扱ってくれる事業者に仕事を発注したい」という要望を受け、それに応えるために、ISMS構築を取り行う客先常常駐型システム開発・運用会社が多い印象を受けます。

客先常駐型システム開発・運用会社がISMSを取得するメリット

ISMS認証を取得するメリットとして、顧客から業務委託の対象として選定してもらいやすくなることが挙げられます。

ISMS認証取得している企業は「情報セキュリティに関する社内ルールが整備されている企業」であると考えられるため、業務を委託する側から見れば安心して情報資産を預けることができます。
開発業務では社外秘情報や業務フローなど重要性の高い情報に触れる機会も多いため、「預かる情報を適切に取り扱っている」と対外的に示せることは大きなメリットです。

また、ISMS認証を取得するには従業員に「情報セキュリティ教育」を実施する必要があります。このため認証取得企業から来た技術者であれば「情報セキュリティに対する理解と高い意識を持っている」と確信できます。

客先常駐型システム開発・運用会社がISMS取得をする際に注意すべき点

客先常駐型開発業務の場合、基本的には常駐先のルールに従って日常の業務に携わることになります。
このとき、常駐先のルールと自社のルールに差異がある可能性があります。その場合「どちらを優先するのか?」ということを考えなければなりませんが、「常駐先のルールと自社のルールのうち、”厳しいほう”のルールに合わせる」と考えておくと良いでしょう。

例えばパスワードポリシーについて、常駐先のルールでは「パスワード桁数が8桁以上」、自社のルールでは「パスワード桁数が10桁以上」となっていた場合、設定する際は自社のルールに合わせて10桁以上に設定することが望まれます。

また、契約内容によっては業務利用するPCなどの端末を自社から持ち込む場合があります。この場合、PCの設定や取扱いについて特に注意が必要です。
例えばウイルス対策ソフトの設定ミスなどで端末がマルウェア感染してしまった場合、ネットワークを経由して顧客の環境にまで被害を広げてしまう恐れがあります。

また、成果物などのデータをPCローカルに保存していた場合、意図せず持ち出してしまう、端末の紛失による情報漏えい事故を引き起こす恐れがあります。

ISMS構築や審査においてチェックしたいポイント

ISMS体制を構築し審査を受けるにあたっては、以下の点がポイントとなります。

  • 自社の情報資産と同様に預かり資産や常駐先で触れる情報資産を特定し、リスク分析を行う。特に、顧客の機密情報はセキュリティが損なわれた場合のリスクが大きいため、取扱いに関するリスクへの対応を綿密に行う必要があります。
  • 情報セキュリティに関する社内ルールに「常駐先での業務に関するルール」を設ける。常駐先のルール順守や自社から持ち込む端末の取扱いなどを自社のルールに明文化し、情報セキュリティ教育で周知することで、常駐先におけるインシデント発生のリスクを抑えることができます。

客先常駐型システム開発業務には特有のリスクが存在しますが、これらをきちんと分析し対策することで強固な情報セキュリティを実現することができます。
自社・顧客両方の情報資産を適切に管理するために、ISMS体制構築を目指しましょう。

自社に合ったISMS体制を構築したい!とお考えの皆様、ぜひ情報セキュリティコンサルティングサービスにご相談ください。

ISMS / ISO27001認証取得を目指す
タイトルとURLをコピーしました