ISMSに関する秘密保持契約について

こんにちは
皆さんのお知恵をおかし頂ければと思います。

ISMSに関係する部分で外注や協力会社に業務等を
委託する際の契約書にこのような文言を入れなくては
いけないというような事があるのでしょうか？
また、文言を入れなければいけないのであれば
その文言についても教えて頂けますでしょうか。

以上、よろしくお願いします。

No.1 ベストアンサー 回答者： newbranch 回答日時： 2008/12/08 16:06

管理責任者をしています。

ISMSの附属書Aに以下の記述が成されています。
A.8人的セキュリティ
A.8.2.1経営陣の責任
　経営陣は、組織の確立された方針、手順に従ったセキュリティの適用を
　従業員、契約相手先及び第三者の利用者に要求しなければならない。
とあり、ご質問の場合に、この項目にあるような、「組織の確立
された方針、手順に従ったセキュリティの適用を要求する」ことが
管理策として求めることに成ります。この場合には、附属書にあるように、
契約相手先だけではなく、従業員及び第三者にたいしても、
要求するように求められていることをシステム確立時に念頭に入れなければ
成りませんね。

この回答へのお礼

早々のご回答ありがとうございます。

ISMSのいろはを完全に理解していないため回答いただいた
内容が理解できませんでした。

弊社の場合、委託先と秘密保持契約を交わす場合、
Pマーク規定上では以下の７項の文言を入れる様に
なっています。
□委託者及び受託者の責任の明確化
□個人情報の安全管理に関する事項
□再委託に関する事項
□個人情報の取扱い状況に関する委託者への報告の内容及び頻度
□契約内容が遵守されていることを委託者が確認できる事項
□契約内容が遵守されなかった場合の措置
□事件・事故が発生した場合の報告・連絡に関する事項

委託先と秘密保持契約を交わす場合、
上記７項のような文言をISMSの規定上いれる
必要はあるのでしょうか。
ちなみに現在、資産の洗い出しとC・I・Aの価値を
決めています。

よろしくお願い致します。

お礼日時：2008/12/08 17:19

No.2 回答者： newbranch 回答日時： 2008/12/09 09:52

NO.1です。

契約先（外注や協力会社）に業務委託契約を実施するときに、
当然貴社が定めたセキュリティの管理方針、手順があるわけで、
その適用を要求することが求められています。（経営陣の責任)
したがって、その内容については、個別企業によって定めること
になりますから、Pマーク対応の手順を入れることも、又、別途
項目を入れるのもISMS上では、特定されていませんので、
貴社でご決定されればよろしいかと思います。）
一般にISOは、規格の要求事項（Shall項目）が満たせればいいので
どの様に満たすかは、それぞれの企業が決定すればいいと思われ
ます。（企業はそれぞれの特徴を持っていますので、規格では
画一的に規定されることはありません）