政府機関間の情報交換協定に関する考慮事項
質問:政府機関間の情報交換契約を起草する場合、どのセキュリティ関連セクションを含めることを検討する必要がありますか?契約の例?
情報交換契約のセキュリティの観点は何ですか?残念ながら、この主題に関する私の調査では、有用なガイダンスがほとんどないことが明らかになりました。 SS-ISO/IEC 27002:2005のセクション6.2.3(サードパーティ契約のセキュリティへの対応)は完全には役に立ちません。
ISO文書に加えて、私はいくつかの情報交換ポリシーを読みましたが、実際の合意が含まれているようには見えません。ほとんどの場合、次のセクションを中心に展開しているようです(特定の詳細は表示されません)。
- 「承認された」情報セキュリティ管理システム(ISMS)を使用する
- 役割と責任を確立する
- 機密性、整合性、および可用性の要件(... doh)
- 事業継続計画
- インシデントの手順/プロセス
私の質問に関してあなたが共有しなければならないかもしれないガイダンス、経験または知識をいただければ幸いです。この時点で、ほとんど何でも私が持っているものよりも優れています。 (例のポイント!)
あらゆるタイプの高レベルの契約での私の経験では、さまざまな組織が実施している統制を一致させるという課題があるため、セキュリティに関連する特定の要件を挿入することは非常に困難です(つまり、相手に特定の基準に対するコンプライアンスを表明させようとします)
そのため、ほとんどの場合、ISO2700xISMSのような言語が表示されます。これらは、相手が「合理的な」レベルのセキュリティを備えていると誰かが言うことができる共通の基盤を形成します(データの使用に一致するISMSの範囲などに適用される通常の警告があります)
それとは別に、検討できる主なセキュリティ要件は、契約に基づいて共有されている特定のデータについてどれだけ知っているかによって異なります。
たとえば、共有されているデータの1つのクラスは、他の政府の特定の部門または個人のみが使用する必要があることがわかっている場合は、契約に追加する価値があります。
また、保護マーキングなどに関連する用語のマッピングがあると、共有される情報に関連する誤解がないことを確認するのに役立ちます。