セキュリティ監査 のサンプル条項

セキュリティ監査. １ セキュリティ監査計画の作成等 (1) 防衛関連企業は、情報セキュリティ基本方針等に基づく措置の実施状況の確認及び有効性の評価を客観的に行うため、監査部門を設置し、同部門には原則として最低１名は監査を受ける部署以外の取扱者を含むものとする。 (2) 監査部門は、次に掲げる事項を記載したセキュリティ監査計画を作成し、総括者を通じて経営者等の承認を得るものとする。 ア セキュリティ監査に関与する者の氏名、所属する部署、役職、権限 、責任の内容等

セキュリティ監査. Contentsquareは、毎年、ISO27001又はその他の同様に認知された規格に準拠した監査（以下「データ保護統制監査」という。）を実施するために、適切な資格者を起用するものとする。Contentsquareは顧客に協力し、また、Contentsquareに対する合理的な事前通知（30日以上）により、顧客がContentsquareのペネトレーションテストプロトコルに同意することを条件として、顧客は1年に一回を限度として、第三者（本関連契約における顧客の守秘義務と同程度に厳格な守秘義務を負う者に限る。）を用いて技術的なセキュリティテスト （マニュアルペネトレーションテスト）を実施し、顧客データを保管するContentsquareのシステムを監査（以下「技術セキュリティ監査」という。）することにより、必要なセキュリティ措置が実施され適切に機能していることを確認することができるものとする。技術セキュリティ監査の結果判明した不備やその重要性については、両当事者がレビューし、合意されなければならないものとする。 Contentsquareは、セキュリティ質問表、データ保護統制監査又は技術セキュリティ監査（それぞれ「セキュリティ監査」という。）において判明し有効と認められたすべての重大な欠陥、懸念又は勧告に直ちに対処するものとする。セキュリティ監査の結果、顧客が Contentsquareの安全対策が不十分であると合理的に判断した場合、顧客の書面による要請後速やかに、Contentsquareの上級役員が顧客の代表と会合し、問題が終了するまで誠意を持って協議するものとする。但し、本第5条に基づき実施されるすべての評価及び監査は、以下の要件に準拠するものとする。 a) 顧客は、30日前に書面で通知するものとする。 b) 12ヶ月に1回を限度とする。但し、顧客に影響を及ぼすセキュリティインシデントの場合、顧客は、6ヶ月ごと又は両当事者間で書面で合意される他の期間ごとに監査することができる。 c) 顧客の単独の費用負担とする。 d) 評価及び監査の範囲は、顧客とContentsquare間で相互に合意するものとし、一般的に、有効なSSAE (SOC 2）、ISO 27001又は ISO 27701基準の対象となっていない事項に限定されるものとする。 e) 顧客が要求する評価及び監査の一環としての経費は、専ら顧客の負担とする。

セキュリティ監査. オンサイト診断やリモート診断等のセキュリティ診断及び情報セキュリティ監査について、定期的に実施するとともに、本市もしくは愛知県が実施する情報セキュリティ監査等につい て、現地調査、ヒアリング及び資料の提出等に協力すること。 監査結果等について、緊急に対策が必要な指摘事項は速やかに対応し、監査結果、対応結果または対応計画を報告すること。提出する書類等に関しては本市と調整のうえ適正な対応をすること。

セキュリティ監査. 情報セキュリティ監査の受入れが行われていること。

セキュリティ監査. 受注者は、ポリシー等に準拠した情報セキュリティ対策の履行が不十分とみなされるとき、受注者において本調達に係る情報セキュリティ事故が発生したとき、及び内閣サイバーセキュリティセンター（NISC）からの被監査対応が発生したときは、必要に応じて委員会事務局の行う情報セキュリティ対策に関する監査を受け入れるとともに、必要な支援を実施すること。 ７． 成果物の取扱いに関する事項 （１） 知的財産権の帰属