JIS Q 27001:2014の管理策について－26

今回は、「11.2　装置」 から11.2.7、11.2.8および11.2.9です。

11.2.7 記憶媒体を内蔵した全ての装置は、処分又は再利用する前に、全ての取扱いに慎重を要するデータ及びライセンス供与されたソフトウェアを消去していること、又はセキュリティを保って上書きしていることを確実にするために、検証する。

ハードディスク等の記憶媒体を内蔵した装置を処分、再利用するときにはデータ及びソフトウェアの消去・上書き等の対策が必要です。

• 処分・再利用前に記憶媒体が内蔵されているかの確認
• 重要な情報、著作権のある情報が格納されている場合、物理的に破壊するか専用のソフトウェアで消去・上書きする

通常のフォーマットや上書きでは、特殊な技術にて読みだされる可能性が高いので、専門家に相談・依頼することが必要となります。

11.2.8 利用者は、無人状態にある装置が適切な保護対策を備えていることを確実にする仕組みを整備する。

端末室・機械室等で無人状態にある装置に対し、次のような対策が必要です。

• 接続の切断
• ログアウト
• 画面ロック
• キーロック

入退室記録や使用記録の定期的な確認も必要となります。

11.2.9 書類及び取外し可能な記憶媒体に対するクリアデスク方針、並びに情報処理設備に対するクリアスクリーン方針を適用する。

クリアデスクとは、机上に書類を放置しないことです。また、クリアスクリーンとは、情報をスクリーンに残したまま離籍しないことです。

書類および取り外し可能な記憶媒体、情報処理設備に対するクリアデスク・クリアスクリーン方針には、次のような対策が必要です。

• 組織の契約上の要求事項を含める
• 重要な情報を取り扱う場合は、オフィスが無人となる場合は施錠する
• 離席時の端末のログオフ、スクリーンロック等の実施
• プリンタへの重要情報の放置の防止
• コピー機への重要情報の置き忘れの防止

クリアデスク・クリアスクリーンは、利用者にとって一番身近なセキュリティ対策の一つですので、手軽に実施できる対策であることが必要です。

次回は「12　運用のセキュリティ」です。