JIS Q 27001:2014の管理策について-23
今回は、「11 物理的及び環境的セキュリティ」から「11.2 装置」です。
11.2 装置
目的:資産の損失、損傷、盗難又は劣化、及び組織の業務に対する妨害を防止するため。
情報資産の損失、損傷、盗難、劣化、業務妨害等を防止することが目的です。
11.2.1 装置は、環境上の脅威及び災害からのリスク並びに認可されていないアクセスの機会を低減するように設置し、保護する。
情報資産を取り扱う装置は、環境上の脅威、災害からのリスク、認可されていないアクセス機会が低減されるよう設置し、保護するため次のような対策が考えられます。
- 作業領域への不必要なアクセスが最小限となる場所への設置
- のぞき見リスクが低減される場所への設置
- セキュリティが保たれた区域への設置
- 物理的・環境的脅威(盗難、火災、爆発、ばい煙、水、塵埃、振動、化学的汚染、電力供給の妨害、通信妨害、電磁波放射、破壊)に対する管理策の採用
- 飲食、禁煙に関する指針の確立
- 落雷・電磁波対策
11.2.2 装置は、サポートユーティリティの不具合による、停電、その他の故障から保護する。
サポートユーティリティ(電気、通信サービス、給水、ガス、下水、換気、空調)の 不具合による停電、その他の故障から保護するため、次のような対策が考えられます。
- 装置の製造業者の仕様及び地域の法的要求事項に適合しているものの採用
- 事業の成長及び他のサポートユーティリティとの対応能力の定期的な評価
- 不具合を検知するための警報装置
- 物理的な経路が異なる複数の供給元の確保
- 非常用照明、通信手段の確保
- 緊急用の遮断スイッチ及びバルブの設置
次回は、 「11.2 装置」 から11.2.3および11.2.4の予定です。
