「物理的及び環境的セキュリティ(A9)」の版間の差分
編集の要約なし |
編集の要約なし |
||
| 15行目: | 15行目: | ||
ISMSの適用範囲において、'''情報セキュリティの対象とする情報処理施設と設備を検討し、明確にする'''。<br> | ISMSの適用範囲において、'''情報セキュリティの対象とする情報処理施設と設備を検討し、明確にする'''。<br> | ||
* | *・具体的には、リスクを評価したうえで情報セキュリティの重要性を評価し、セキュリティ領域の設定方法やその保護レベルなどを決める必要がある。なぜならば、すべての情報処理施設と設備について厳重すぎる情報セキュリティ対策は、費用対効果の観点からみて、問題があるからである。<br> | ||
* | *・重要な情報処理施設や設備は、サーバー室やルーター、電源設置などの設備がある。一般の情報処理機器には、個人が使用するPC端末やプリンターなどが考えられる。しかし、一般の情報機器(携帯電話など)であっても、情報や情報処理の重要性によって、セキュリティ領域を決定し、管理することが必要な場合もある。<br><br> | ||
'''2)セキュリティ領域の設置'''<br> | '''2)セキュリティ領域の設置'''<br> | ||
2010年3月15日 (月) 17:33時点における最新版
教育資料06の物理的及び環境的セキュリティ(A9)です。
←人的資源のセキュリティ(A8)|ISMS教育資料|通信及び運用管理(A10)→
セキュリティを保つべき領域[A9.1]
【目的】
組織の施設及び情報に対する認可されていない物理的アクセス、損傷及び妨害を防止するため。
物理的セキュリティ境界[A9.1.1]
【管理策】
情報及び情報処理施設のある領域を保護するために、物理的セキュリティ境界(例えば、壁、カード制御による入口、有人の受付)を用いなければならない。
【解説】
1)対象施設と設備の検討
ISMSの適用範囲において、情報セキュリティの対象とする情報処理施設と設備を検討し、明確にする。
- ・具体的には、リスクを評価したうえで情報セキュリティの重要性を評価し、セキュリティ領域の設定方法やその保護レベルなどを決める必要がある。なぜならば、すべての情報処理施設と設備について厳重すぎる情報セキュリティ対策は、費用対効果の観点からみて、問題があるからである。
- ・重要な情報処理施設や設備は、サーバー室やルーター、電源設置などの設備がある。一般の情報処理機器には、個人が使用するPC端末やプリンターなどが考えられる。しかし、一般の情報機器(携帯電話など)であっても、情報や情報処理の重要性によって、セキュリティ領域を決定し、管理することが必要な場合もある。
2)セキュリティ領域の設置
情報処理施設と設備は、物理的セキュリティ境界を設けて独立した領域(セキュリティ領域)に設置し、権限のない者がアクセスできないようにする。
当社では「施設/設備管理規定」、「フロア図」で定めている。
- ・社内をエリア管理レベルA~Cに区分し、エリア内の管理レベルが維持されるように物理的または環境的に隔離している。
(高度なセキュリティレベルが必要なサーバー室や総務室などは、第三者による悪戯、破壊などの被害を受けないように領域を独立させた二重三重のセキュリティ領域を設け、施錠および入退管理を行っている。)
物理的入退管理策[A9.1.2]
【管理策】
セキュリティを保つべき領域は、認可された者だけにアクセスを許すことを確実にするために、適切な入退管理策によって保護しなければならない。
【解説】
セキュリティ領域に関する規定などの整備
セキュリティ領域の情報セキュリティレベルを維持していくためには、セキュリティ領域に関するガイドラインを定める必要がある。
●ガイドラインに盛り込む事項
- ・セキュリティ領域の管理体制(責任者、担当者など)
- ・セキュリティ領域の入退管理(入場許可、入退管理の方法、警備など)
- ・セキュリティ領域内における作業手順(作業管理、立ち会いなど)
- ・セキュリティ領域の地震対策
- ・セキュリティ領域の火災対策
- ・セキュリティ領域の監視(検知設備、監視設備、巡回警備など)
- ・その他(外部委託管理(清掃、警備等)など)
当社では「施設/設備管理規定」で定めている。
- ・エリア内への入退館管理は、社員証、個別入館証、施設入退室管理表の記入によるビジターバッジ発行により行う。
一般の人の立寄り場所及び受渡場所[A9.1.6]
【管理策】
一般の人が立ち寄る場所(例えば、荷物などの受渡場所)、及び敷地内の、認可されていない者が立ち入ることもある場所は、管理しなければならない。また、可能な場合には、認可されていないアクセスを避けるために、それらの場所を情報処理施設から離さなければならない。
【解説】
物品などの受渡場所など
情報セキュリティ対策の基本的な考え方は、保護すべき重要な領域と、一般的な管理で十分な領域を分離することである。異なる情報セキュリティレベルのものが同一の領域に存在する場合には、適正な情報セキュリティが適用されず、リスクが増大する可能性やコストが嵩む場合があるからである。
当社では「施設/設備管理規定」で定めている。
- ・物品の受け入れ等による一般の人の立ち入りは管理レベルA3エリアで行う。
作業や設置によりA3以上のエリアに立ち入る必要がある場合は、社員が立ち会うこととする。
装置のセキュリティ[A9.2]
【目的】
資産の損失、損傷、盗難又は劣化、及び組織の活動に対する妨害を防止するため。
構外にある装置のセキュリティ[A9.2.5]
【管理策】
構外にある装置に対しては、構外での作業に伴った、構内での作業とは異なるリスクを考慮に入れて、セキュリティを適用しなければならない。
【解説】
外部での装置の利用
モバイルコンピュータや携帯電話を利用している場合には、モバイルコンピュータの持ち出しおよび持ち込み手順の策定、パスワードやICカードなどによる利用者の制限、機器の保管管理、モバイルコンピュータ内およびデータ通信の暗号化などの管理策を講じる。モバイルコンピュータや携帯電話については、電話番号や住所などの個人情報が登録されているのでキーロックによる対策を講じることが望ましい。
いずれにしても情報機器の放置、紛失、盗難などが発生しないように、利用者一人一人の情報セキュリティ意識を向上させるための教育を強化することも重要な管理策のひとつである。
当社では「施設/設備管理規定」で定めている。
- ・情報処理装置(PC、HD等)を持ち出す場合は、情報処理装置持ち出し申請書による許可が必要である。
- ・お客様や業者さんの番号登録がされている場合には、個人携帯電話であっても、キーロック対策を義務づけている。
装置の安全な処分又は再利用[A9.2.6]
【管理策】
記憶媒体を内蔵した装置は、処分する前に、取扱いに慎重を要するデータ及びライセンス供与されたソフトウェアを消去していること、又は問題が起きないように上書きしていることを確実にするために、すべてを点検しなければならない。
【解説】
情報の消去
サーバーやPC端末などの装置は、老朽化などによって取り替えられる。また、装置をリースで調達している場合には、リース契約期間終了後に当該装置を返却し、場合によっては他者が使用することもある。装置を処分または再利用する場合には、当該装置に格納(保存)されている情報を消去し、第三者に情報が流出・漏洩しないような管理策を講じなければならない。例えば、専用のソフトウェアで電磁的に処理したり、ハードディスク装置自体を物理的に破壊したりする方法がある。ハードディスクをフォーマットする方法では、リカバリー用のソフトウェアを使用すれば当該データが見読されてしまうので注意が必要である。また、装置の処分を第三者に委託する場合には、処分作業への立ち会い、契約の締結(守秘義務、損害賠償、立入検査権などを盛り込む)など、処分を確実に実施させるための管理策が大切である。
当社では「施設/設備管理規定」で定めている。
- ・情報処理装置を再利用または処分する場合は、情報を読み出すことができないように完全に消去する。