バックアップ方法とサーバラックの開錠・施錠の記録について
3.4.3.1正確性の確保に記載されているバックアップについて、弊社リスクアセスメントの結果、オンラインバックアップにて実施する方向で考えております。
オンラインバックアップは、「同じ室内」に2台のPCを配置して行う予定ですが、このようなケースは審査の指摘事項となりますでしょうか。
3.4.3.2安全管理措置-物的安全管理措置の(2)入退室管理について、「サーバラックの開錠・施錠」は必須事項とご回答いただきました。
この開錠施錠のレベルですが、例えば、PCサーバに直接ついている鍵の開錠施錠のレベルでも問題はないのでしょうか。
弊社事務所の実情(マンションの一室を利用している)を考えると、室内を間仕切りして施錠する等の対応は困難と考えております。
室内への最初入室の開錠記録と最終退室者の施錠記録をもって、代用することはできないのでしょうか。
似たような事例など、ご存知でしたら参考までに教えてくださると非常に助かります。
「オンラインバックアップ」に関しては、そのようなセキュリティ対策で、特に問題は無いかと思います。
なお、『同じ室内」に2台のPCを配置”した場合に考えられる残存リスクとしては』、大規模災害(地震や火災)の発生時にデータが全て破壊される可能性かある”などが考えられます。
どこまでのレベルでセキュルティ対策を講じるかは各社でも異なりますが、上記の残存リスクを回避するために、ホスティングサービスを利用している企業もあります。
以前にもお答えさせて頂きた通り、審査員によって、若干異なる見解を持ってらっしゃる方もいらっしゃいます。
ただ、あまりにも不十分なセキュリティ対策でなく、建設的にある程度のセキュリティ対策が講じられていれば、指摘を受けることはないのでご安心ください。
「サーバラックの開錠・施錠のレベル」に関してですが、ご質問の解釈で問題はございません。
「室内を間仕切りして施錠する等の対応」に関してですが、現状の環境で困難であるのであれば、そこまで実施する必要はないでしょうね。
ただし、審査員は現状の環境内で出来るセキュリティ対策を要求してくる場合もありますので、ご注意下さい。
例えば、PCサーバを入口や火気・水気の近くには設置しないなど。
「室内への最初入室の開錠記録と最終退室者の施錠記録をもって、代用する」に関しては、以前、弊社の顧客で、それと同じ方法で審査員から指摘を受けたことがあったため、現在ではその方法をお勧めはしていません。
ただ、審査員によっても異なりますので絶対だとは言い切れませんが、室内への最初入室の開錠記録と最終退室者の施錠記録をもっての代用では少しい厳しいかと思います。
