JIS Q 27001:2014の管理策について－25

今回は、「11.2　装置」 から11.2.5および11.2.6です。

11.2.5 装置、情報又はソフトウェアは、事前の認可なしでは、構外に持ち出さない。

情報資産の持ち出しに対し、次のような対策が必要です。

• 持ち出しを許可する権限を特定の人に限定する
• 持ち出すことができる人を特定する
• 持ち出し期限を設定し、返却があったことを確認する
• 持ち出し、返却を記録する

持ち出しに関するルールを文書化し、持ち出しに関する記録を確実にすることが重要です。万が一、情報資産の盗難・紛失・滅失等が発生した場合の対応方法も持ち出す人に教育しておく必要があります。

11.2.6 構外にある資産に対しては、構外での作業に伴った、構内での作業とは異なるリスクを考慮に入れて、セキュリティを適用する。

持ち出した情報資産を利用する場合、屋内での作業とは異なるリスクを考慮し、次のような対策が必要です。

• 持ち出した端末・媒体等を外部で利用する場合、管理権限者の許可を得る
• 持ち出した端末・媒体等を公共の場に放置しない
• 端末・媒体等の保護対策を施す
• 在宅勤務、テレワーキング等に対する管理策を適切に適用する
• 使用場所に応じた管理策を適用する

持ち出した情報資産を使用して作業を実施するためには、事前に使用場所に応じたリスクアセスメントを行い、適切な管理策を適用します。
作業者には、使用場所に応じた教育も重要な対策となります。

次回は「11.2　装置」 から11.2.7および11.2.8の予定です。