ベンダーセキュリティ評価
ベンダーセキュリティ評価 とは何ですか?
ベンダーセキュリティ評価取引の開始前および取引期間中に、第三者ベンダーのセキュリティ統制・方針・運用を構造的に評価し、ベンダーがもたらすリスクを見極める取り組み。
ベンダーセキュリティ評価とは、サプライヤーの情報セキュリティ態勢を精査し、契約が許容できるかを判断するとともに、監督の条件を定めるプロセスです。通常はまず固有リスクのトリアージ(データの機微度、システムへのアクセス、事業上の重要度)を行って評価の深さを決め、続いてセキュリティ質問票(SIG、CAIQ)、監査報告書(SOC 2 Type II、ISO/IEC 27001 認証)、ペネトレーションテストの要約、セキュリティレーティング、必要に応じた技術的・現地での検証を通じて証拠を収集します。所見は採点され、ギャップは是正まで追跡され、結果は契約条項、リスク受容、または取引拒否に反映されます。評価は定期的に、また大きな変更があった際に繰り返され、より広範なベンダーおよび第三者リスク管理プログラムの証拠収集の中核を成します。
● 例
- 01
ある銀行は、新しい決済代行業者を導入する前に SIG 質問票を送付し、有効な SOC 2 Type II 報告書を要求する。
- 02
ある SaaS 購入企業は、契約更新の一環としてペネトレーションテストの要約を依頼し、ベンダーのセキュリティレーティングを毎年見直す。
● よくある質問
ベンダーセキュリティ評価 とは何ですか?
取引の開始前および取引期間中に、第三者ベンダーのセキュリティ統制・方針・運用を構造的に評価し、ベンダーがもたらすリスクを見極める取り組み。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
ベンダーセキュリティ評価 とはどういう意味ですか?
取引の開始前および取引期間中に、第三者ベンダーのセキュリティ統制・方針・運用を構造的に評価し、ベンダーがもたらすリスクを見極める取り組み。
ベンダーセキュリティ評価 からどのように防御しますか?
ベンダーセキュリティ評価 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ベンダーセキュリティ評価 の別名は何ですか?
一般的な別名: 第三者セキュリティ評価, サプライヤーセキュリティレビュー。