17.3.6 ITサービスの外部委託
OIST情報資産を保持、送受信するサービス又はシステムを提供する外部の者と契約を締結する場合は、さらに以下に示す要因を考慮する必要があります。
これらは、28章で詳細を定める調達のプロセス及びエンタープライズアプリケーションによる評価プロセスでの優先事項です。
- サービスプロバイダとの間のサービスレベル契約(SLA)
- 秘密保持契約及びOIST情報資産の目的以外の利用を防止する条項
- サービスプロバイダの情報セキュリティ管理に関する成熟度
- OIST情報資産に関し、下請け業者を含む第三者による意図しない変更からそれを保護するためのサービスプロバイダの内部統制及びそのインフラストラクチャ
- サービスプロバイダの契約上の要件及びセキュリティ要件の遵守に対する監査権
- 情報セキュリティパフォーマンスに関する監視と、OISTへの定期的な報告