メインコンテンツへスキップ
English (United States)

設問の主語と回答範囲について

更新

Assured企業評価の設問には、「会社全体」として回答するものと、「調査対象の業務」として回答するものがあります。この記事では、設問ごとの主語(回答の基準となる範囲)を整理し、正確な回答にお役立てください。

1. 「会社単位」と「業務単位」の違い

設問への回答は、大きく以下の2つの主語に分かれます。

  • 会社単位:貴社全体に共通して適用されている方針・体制・規程をもとに回答する設問です。特定の取引や案件に限らず、組織全体として整備されている内容が対象となります。
  • 業務単位:今回の調査依頼に該当する特定の業務における状況をもとに回答する設問です。他の業務では状況が異なる場合でも、今回の調査対象業務の実態に合わせてご回答ください。

2. 設問に回答する際の範囲

原則、「調査対象の業務」を回答範囲としてご回答ください
参考:セキュリティ調査に回答する際の注意点

ただし、以下の設問に関しては回答範囲が明確となりますのでご注意ください
3. 会社単位で回答する設問
4. 業務単位で回答する設問

💡 調査対象業務専用の対策でなくても、会社全体の対策が調査対象業務に適用されている場合は、該当する選択肢を選択してください。

3. 会社単位で回答する設問

以下の設問は、貴社全体の方針・体制・規程をもとにご回答ください。

  • OR-1~4:情報セキュリティ確保のための組織体制(基本方針やセキュリティリスク管理)
  • OS-1〜4:外部委託先管理(外部委託先・サービスの管理方針、リスク評価の実施 等)

4. 業務単位で回答する設問

以下の設問は、今回の調査依頼に該当する業務環境の実態をもとにご回答ください。

  • OA-1〜10:OA端末のセキュリティ(マルウェア対策や脆弱性管理 等)
  • AC-1〜15:アクセス制御(利用システムにおけるアカウント管理や認証方式 等)
  • CR-1:暗号化(データに関する暗号化)
  • PH-1〜5:物理・環境セキュリティ(オフィスやDCの入退室管理 等)
  • OP-1〜7:システム運用のセキュリティ(バックアップやログ、脆弱性診断 等)
  • MN-1:監視(システムの監視状況)
  • NW-1〜7:ネットワークのセキュリティ(アクセス制御やセキュリティ対策 等)
  • SY-1〜2:システムの取得、開発・保守(ルールや実施事項)
  • BC-1〜2:事業継続(BCP対策)

よくあるご質問

💭 設問の主語がわからない場合はどうすればいいですか?

設問文に「調査対象の業務」「今回の取引」という表現がある場合は契約単位、「企業として」「全社」という表現がある場合は会社単位が目安となります。判断が難しい場合は、事務局までお問い合わせください。

<Assured企業評価セキュリティ調査サポート事務局>
support-tp@assured.jp

関連記事