外部委託先管理

掲題について、ISMS(ISO27001)の活動の一環としてアクションを起こしました。

とても基本的なアクションですが、ISMSスコープ内の組織が、きちんと外部委託先を管理できるようにすることを目的として、

１．全ての業者とその業務内容のリストアップ（自組織側の担当者を明確に記載する）
２．管理すべきかどうかのプライオリティをつける
３．機密情報を扱うなど管理すべきプライオリティの高い業者に対しては教育計画と、定期レポートの提出を依頼、合意する。　（レポートには業務内容、セキュリティに関する事故などがあればその内容と対応策、委託業者内で、セキュリティ教育などを実施した場合はその記録）
４．１〜３を定期的にまわすため、手順を文書化、サイクルの定義
ここまで、各組織やチームから担当者を出してもらい、作業を分担して行ったため、はじめてから大体３週間かかりました。（その期間にあまり時間は費やしていませんが）

などです。
これがある程度回りだしたら、定期的なインタビューなどチェックを検討する予定です。