ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

適合性管理規程 「2.6暗号化機能に対する規制」および「4.2情報システムの監査ツールの保護」について

ISMSサンプル文書集
2012/01/23
ISMSサンプル文書集.  6,251 views

この記事は、内容が古い可能性がありますのでご注意ください。

「適合性管理規程 2.6暗号化機能に対する規制」にて国外における暗号化機能に対する規定対策とあったので、弊社では適応外となると思いましたが、規程から該当する要求事項を確認したところ、海外と限定する文言が見当たりません。
国内だと規制があるのが当たり前だという大前提のもとの規程でしょうか。

また、「適用性管理規程 4.2情報システムの監査ツールの保護」にて疑問があります。
監査ツールとはディスク容量の監視などを行う監視ソフトだと考えていたのですが如何でしょうか。
例えば、ファイルサーバの容量が上限を超えることが重大なリスクになると判断しているので、ファイルサーバの容量に閾値を設け、閾値を超えるとアラートを出すような監視ソフトを導入している。
この場合、閾値を検知するためのツールが監査ツールとなるか、
閾値を検知するためのツールを含め情報システムとなり、
監査ツールの保護とは、監視ソフトをさらに監査する必要がある・・・など。
解釈の問題だとは思うのですが、一般的な解釈はどちらでしょうか。
また、弊社の考えが全く異なる方向を向いている場合、ご教授をお願いいたします。

ご質問にお答えさせていただきます。

殆どの顧客が、適用除外となるために「適合性管理規程 2.6暗号化機能に対する規制」 に以下の文言が記述されているかと思いますので再度、確認して下さい。
下記以降に記述されている文言は、適用になる場合の記述例となっておりますので、適用外の場合は、削除してください。
「海外との取引を行う業務がないため、適用外とする。」

なお、「適用性管理規程 4.2情報システムの監査ツールの保護」についてですが、色々な考え方はありますが、弊社ではそのような考え方が一般的だと思います。