7.物理的及び環境的セキュリティに関する基本原則

ここでは、「情報セキュリティマニュアル 管理者編」のうち、

「Ⅲ.情報システム室の職務」の

「7.物理的及び環境的セキュリティに関する基本原則」について紹介します。

情報セキュリティマニュアル全体の構成については、以下をご参照ください。

情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインのまとめ
認証取得目的ではなくISMSを利用した情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインの一例です。ISO27001の要求事項については目次までですが付属書Aについては利用者と管理者に分けて作成しています。
スポンサーリンク

Ⅲ.情報システム室の職務

7.物理的及び環境的セキュリティに関する基本原則

7.2 情報資産のセキュリティ

7.2.1 情報資産の設置及び保護

(1)情報システム室は、当社の基幹ネットワークを構成するネットワーク機器及び関連機器の設置場所及び保護について、次の事項を遵守する。

  • 当該機器の設置場所ヘの不必要なアクセスを最小限におさえられるように、「7.1物理セキュリティ対策」に定める場所に設置する。
  • 当該設置場所においては、当該機器に悪影響を及ぼすおそれのある行為を行わない。

(2)情報システム室は、秘密情報・個人情報を取り扱うサーバー機器の設置場所及び保護について、次の事項を遵守する。

  • 作業場所ヘの不必要なアクセスを最小限におさえられるように、「7.1物理セキュリティ対策」に定める場所に設置する。
  • 機器の周辺で、機器に悪影響を及ぼすおそれのある行為を行わない。

7.2.2 支援ユーティリティ

(1)情報システム室は、その責任範囲にある情報機器の電源に関して、必要に応じ、次の対策を実施する。

  • 停電やその他の電源異常から情報機器を保護する。
    • 例えば、無停電電源装置(UPS:Uninterruptible Power Supply)の設置、非常用発電機の設置、電源ユニットの二重化等
  • 情報機器のメーカが指定した仕様に適合した十分な電力を供給する。
  • 大規模な機器増設又は大電力を消費する機器を設置する際は、設置計画を作成し、機器を設置する当該ファシリティの管理責任者と事前に調整し、必要な処置を行う。

(2)ファシリティ管理責任者は、その責任範囲にある社内サーバールーム等の電力計画を立案し、消費を監視し、電力不足等の障害を起こさないよう、適切な対策をとる。

7.2.3 ケーブル配線のセキュリティ

情報システム室は、データ伝送又は情報サービス等に使用する各種ケーブルに関し、必要に応じ、次の対策を実施する。

(1)保守等の妨げにならないように電源ケーブルや通信ケーブルを通路等にはみださないように整理する。

(2)保守時等に誤って他の機器に接続している電源ケーブルや通信ケーブルを抜くことがないように、また通信ケーブルの誤接続がないようにケーブル配線を整理整頓する。

(3)必要に応じ、配線カバー等でケーブルを保護する。

(4)秘密情報・個人情報を取り扱う機器については、必要に応じ、次の対策を実施する。

  • 情報システムに接続した電源コンセントの接続口及び通信ケーブルの情報コンセントは、「7.1物理セキュリティ対策」に定める場所に設置する。
  • 許可していない情報機器がケーブルに取り付けられていないことを定期的に確認する。

7.2.4 情報機器の保守(修理を含む)

情報機器(例:個人使用業務PC、ネットワーク機器、サーバー機器)の保守について、次の事項を遵守する。

  • 保守は、信頼できる保守会社に依頼する。
  • 保守会社との間で保守契約を締結する際、又はリース会社との間でリース契約を締結する際は、契約の中に秘密保持義務を含める。
  • 故障等により情報機器を保守する際は、秘密保持義務を盛り込んだ保守契約又はリース契約を締結した会社に依頼する。

7.2.5 当社のファシリティ外における情報機器のセキュリティ

(1)情報システム室は、社内ネットワークを構成するネットワーク機器等についてハウジングサービスを利用する場合、又は通信会社が提供する通信サービスを利用する場合は、次の事項を遵守する。

  • 必要とするセキュリティ要件を明確にした上で、セキュリティ上問題がないことを十分確認する。
  • 当該ネットワーク機器等が設置されたデータセンタ等の社外施設への入館に関する社内手続きを定める。

(2)前項の社外施設に設置された当社のネットワーク機器等を、当該施設で直接利用する場合は、情報システム室が行う。

(3)情報システム室は、その責任範囲の情報システムを稼動させる機器について、ホスティングサービス又はハウジングサービスを利用する場合は、次の事項を遵守する。

  • 必要とするセキュリティ要件を明確にした上で、セキュリティ上問題がないことを十分確認する。
  • 事前に情報セキュリティ管理責任者に申請し承認を得る。
  • 情報システム室は、その責任範囲の情報機器等が設置されたデータセンタ等の社外施設への入館に関する社内手続きを定めこれに従う。

(4)情報システム室は、前項の社外施設に設置された情報、機器等を現地で直接利用する場合は、情報セキュリティ管理責任者に事前申請する。

7.2.6 情報機器及び外部記憶メディアの再利用・廃棄

(1)ファシリティ管理責任者は、その責任範囲のファシリティおける情報機器・備品の廃棄手続きを定め、ファシリティ内の従業員に周知する。

(2)情報システム室は、その責任範囲のネットワーク機器の設置場所を変更する場合は、次の事項を遵守する。

  • 当該ネットワーク機器の管理台帳を作成し、変更が発生した際は、すみやかに管理台帳を更新する。
  • 変更計画を作成し、事前に情報セキュリティ管理責任者の承認を得る。
  • 設置場所の変更に伴うリスクの変化などを考慮し、必要に応じリスクアセスメントを実施し、その結果を情報セキュリティ管理責任者に報告する。

(3)情報システム室は、承認されていない情報資産の移動が行われていないか定期的に(半年に1度)確認する。

(4)情報システム室は、その責任範囲の情報システムに関連する情報資産の設置場所を変更する場合は、次の事項を実施する。

  • 当該情報システムに関連する情報資産の管理台帳を作成し、変更が発生した際は、すみやかに管理台帳を更新する。
  • 変更計画を作成し、事前に情報セキュリティ管理責任者の承認を得る。
  • 設置場所の変更に伴うリスクの変化などを考慮し、必要に応じリスクアセスメントを実施し、その結果を情報セキュリティ管理責任者に報告する。

(5)情報システム室は、承認されていない情報資産の移動が行われていないか定期的に(半年に1度)確認する。

まとめ

ここでは、「情報セキュリティマニュアル 管理者編」のうち、

「Ⅲ.情報システム室の職務」の

「7.物理的及び環境的セキュリティに関する基本原則」について説明しました。

はかせ

ISOについて学ぶきっかけは、知り合いの社長さんからISOについて相談されたことでした。
品質マネジメントを知るほどに、チーム運営やプロジェクトにも使える意外に良い仕組みであることを再認識しています。

はかせをフォローする
情報セキュリティマニュアル
スポンサーリンク
スポンサーリンク
はかせをフォローする
ビジョンで回す博士の品質マネジメント
タイトルとURLをコピーしました