• デジタル資産・遺品に関するお悩みはオフィス・マサミまで。

JIS Q 27001:2014の管理策について-20

今回は、「11 物理的及び環境的セキュリティ」です。

11 物理的及び環境的セキュリティ

11.1 セキュリティを保つべき領域
目的:組織の情報及び情報処理施設に対する認可されていない物理的アクセス、損傷及び妨害を防止するため。

情報及び情報処理施設(システム)に対する、認可されていない物理的アクセス、損傷、妨害を防止することが目的です。

11.1.1 取扱いに慎重を要する又は重要な情報及び情報処理施設のある領域を保護するために、物理的セキュリティ境界を定め、かつ、用いる。

重要な情報及び重要な情報処理施設のあるビル・部屋・区画を保護するための境界の位置及び強度を定める必要があります。
物理的対策としては、次のことが考えられます。

  • 敷地内の屋根、壁、床を堅固な構造物とする
  • 扉への入退室管理システムの導入
  • 不在時の窓、扉の施錠
  • 窓の外部からの破壊の防止(シャッター、防護柵、強化ガラス)
  • 監視カメラ、防犯装置

簡単に考えると、壁・床・屋根を頑丈なものとして、窓・扉にも対策を施すことです。

11.1.2 セキュリティを保つべき領域は、認可された者だけにアクセスを許すことを確実にするために、適切な入退管理策によって保護する。

前項で定めた領域への認可されたものだけへのアクセスを確実にするために、入退室に関する管理策を定める必要があります。
入退室に関する管理策としては、次のことが考えられます。

  • 訪問者の入退の日時の記録
  • 訪問者への同行
  • 訪問者の識別情報の付与(名札、入退室カード等)
  • アクセス権の定期的な見直し

新築の建物の場合は、設計段階からどの場所で、どんな情報を取り扱うのかを検討し、区画や扉、窓などへの対策を講じることが望ましいと考えます。
現状の施設へ追加で対策を講じる場合、物理的な対策が困難なケースも想定されます。必要に応じてアウトソシーングする、クラウド環境を利用することも視野にいれ、予算に応じた対策が望ましいと考えます。

個人・自宅事務所などでは、防犯対策と合わせて検討すると対策が立てやすいでしょう。

次回は、「11 物理的及び環境的セキュリティ」から11.1.3、11.1.4の予定です。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA