ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

「物理的・環境的管理規程」について

2008/04/17 (2019/09/21)
ISMSサンプル文書集.  2,312 views

御社から購入いたしました「ISMS構築パッケージ」について数点ご質問がございます。

■下記2点、「物理的・環境的管理規程」についてです。

1) 「2.5 セキュリティを保つべき領域での作業(A.9.1.5)」
(4) 画像、映像、音声又はそのた記憶装置(例:携帯端末についたカメラ)は、許可されたもの意外は許可しないこと
→”許可されたもの意外は許可しないこと”など、日本語的にこの文章全体が、少々分かりづらいです。
いかがでしょうか?

2) 「3.6 装置の安全な処分又は再使用(A.9.2.6)」
<他の人に譲る場合>
→上記の条で説明している、”他人に譲る場合”というのは、会社内部で従業員同士で譲る場合ですか?それとも、社外の第3者に譲る場合のことですか?

> 1) 「2.5 セキュリティを保つべき領域での作業(A.9.1.5)」
> (4) 画像、映像、音声又はそのた記憶装置(例:携帯端末についたカメラ)は、許可されたもの意外は許可しないこと
>
> →”許可されたもの意外は許可しないこと”など、日本語的にこの文章全体が、
> 少々分かりづらいです。   いかがでしょうか?

こちらの表現は、ISO/IEC17799:2005(JISQ27002:2006)規格の「A9.1.5」に記載されている文言を引用しております。
ご指摘の通り、少々分かりづらい表現ではあるかと思います。

規格と同じ文言を使用する必要もないため、御社内で分かりやすい表現にすることをお勧めします。

例えば、以下のような表現。

「(4) 画像、映像、音声又はその他記憶装置(例:携帯端末についたカメラ)は、許可されたもの以外は、持ち込ませないようにすること。」

> 2) 「3.6 装置の安全な処分又は再使用(A.9.2.6)」
> <他の人に譲る場合>
>
> →上記の条で説明している、”他人に譲る場合”というのは、会社内部で従業員
> 同士で譲る場合ですか?それとも、社外の第3者に譲る場合のことですか?

こちらは、社内外の両方になります。

この記述の意図としては、使用していた装置には、その使用者が取扱いを許可された情報が入っており、その使用者以外の人(社内外問わず)に譲り渡す場合は、誤って情報が漏えいしないようにするということです。

よって、譲り渡す相手が、社内であろうが、社外であろうが、「物理的・環境的管理規程」に記述されているように、一度、情報セキュリティ管理者などの権限者によって、装置の初期化などを行うルールを設ける必要があります。