★ISO27001の附属書A 管理策とは #3

Tweet    [PR] 企業向けeラーニングサービス e 研修 【S-LMS+】

A.9 物理的及び環境的セキュリティ

A.9.1　セキュリティを保つべき領域

【管理の目的】
組織の情報資産に対する不正なアクセスを防止するため。

【管理策の選択項目】
1　物理的セキュリティ境界
2　物理的入退管理策
3　オフイス、部屋及び施設のセキュリティ
4　外部及び環境の脅威からの保護
5　セキュリティを保つべき領域での作業
6　一般の人の立ち寄り場所及び受渡場所

【管理策の説明】
情報処理施設におけるセキュリティを保つため、 隔壁、認証ドア、など情報セキュリティ区画内に物理的境界を設ける必要があります。
情報処理施設における適正な利用を確認するために、情報セキュリティ区画内の入退室を記録する必要があります。
情報処理施設における、セキュリティレベルに応じた処置を講じる必要があり、 人的災害、自然災害における対応策を講じる必要があります。
情報セキュリティ区画内では、セキュリティレベルに応じた作業手順を講じる必要があり、 組織外の人間に公開している区画を管理する必要があります。

A.9.2　装置のセキュリティ

【管理の目的】


【管理策の選択項目】
1　装置の設置及び保護
2　サポートユーティリティ
3　ケーブル配線のセキュリティ
4　装置の保守
5　構外にある装置のセキュリティ
6　装置の安全な処分又は再利用
7　資産の移動

【管理策の説明】
情報処理設備を人災、天災から保護する必要があります。
情報処理設備におけるサポートユーティリティを定義し保護する必要があります。
通信と電源のためのケーブルは、盗聴又は断線から保護する必要があります。
情報処理設備は可用性及び完全性を維持するために保守する必要があります。

ノートPC、会社の携帯など社外に持ち出して運用する場合の管理策を策定する必要があります。
PC、サーバの廃棄また再利用した場合の管理策を策定する必要があります。
（ハードディスク内のデータの消去、ソフトウエアのライセンス管理。）
ノートPC、会社の携帯など社外に持ち出す場合の許可などの管理策を策定する必要があります。

ISO27001の附属書Aとは #4 A.10 通信及び運用管理