JIS Q 27001:2023のA.7.10(記憶媒体)では、利用時の「認可」は不要になったのですか?
JIS Q 27001:2014年版の「A11.2.5 資産の移動」では、事前の認可なしでは、構外に持ち出してはならないということで、出張時にはPCに関しては、申請してから持ち出すことにしていたのですが、JIS Q 27001:2023年版になると、A7.10の記憶媒体に統合されると思います。
この辺りに関して、明記されていた内容がなくなっていますが、特に、認可の必要性はなくなったと考えて良いでしょうか?
結論から申し上げますと、「認可の必要性」がなくなったわけではなく、より広義の「媒体のライフサイクル管理」の一環として統合されたと解釈するのが妥当です。
1. 管理策の統合と汎用化
ご指摘の通り、旧規格の「11.2.5 資産の移動」は、他の媒体関連の管理策(「8.3.1 取外し可能な媒体の管理」「8.3.2 媒体の処分」「8.3.3 物理的媒体の輸送」)と共に、新規格では「7.10 記憶媒体」に統合されました。
表現が汎用化されたことで「移動時の認可」という直接的な文言は減少しましたが、実務指針であるJIS Q 27002:2023においては、資産の移動は依然として「利用」や「持ち出し」のリスク管理の一環として考慮されるべき事項とされています。
これら4つがマージされて、表現がより汎用化された管理策となりましたが、内容としては、ほぼ同じものです。
2. 認可の仕組みを維持すべき理由
新規格では組織の状況に応じた柔軟な運用が認められていますが、PC等の構外持ち出しは依然として大きなリスク要因です。そのため、以下の観点から従来の「事前認可」の仕組みを維持することを推奨します。
- 責任の所在の明確化:
「誰が・いつ・何を」持ち出したかの記録は、資産管理の基本です。 - エビデンスの確保:
審査においても、重要な資産の移動が適切にコントロールされていることを示す有力な証跡となります。
ちなみに、JIS Q 27002:2023の「手引」では、JIS Q 27002:2014の「8.3.3 物理的媒体の輸送」及び「11.2.5 資産の移動」の手引きの記載が無くなっているため、管理策は必要ないのではないかと思われますが、実際は、「8.3.3 物理的媒体の輸送」は「取外し可能な記録媒体の管理において、考慮すべき事項」に、また「11.2.5 資産の移動」においては「利用」の一環として考慮されることになっております。
3. 弊社サンプル文書での対応
本製品では、旧規格の「A.11.2.5」に相当するルールを廃止せず、新規格の体系に合わせて最適化しております。
- 規定の場所:
収録されている「B11 通信・運用管理規程」の「8.4 資産の移動」に記載を移動・継続しています。 - 詳細資料:
同梱の「新版移行ガイド_ISMS規程集_2023」にて、旧規格との対応関係を詳しく解説しておりますので、あわせてご参照ください。
以上、ご参考ください。
