「物理的・環境的管理規程」について
御社から購入いたしました「ISMS構築パッケージ」について数点ご質問がございます。
■下記2点、「物理的・環境的管理規程」についてです。
1) 「2.5 セキュリティを保つべき領域での作業(A.9.1.5)」
(4) 画像、映像、音声又はそのた記憶装置(例:携帯端末についたカメラ)は、許可されたもの意外は許可しないこと
→”許可されたもの意外は許可しないこと”など、日本語的にこの文章全体が、少々分かりづらいです。
いかがでしょうか?
2) 「3.6 装置の安全な処分又は再使用(A.9.2.6)」
<他の人に譲る場合>
→上記の条で説明している、”他人に譲る場合”というのは、会社内部で従業員同士で譲る場合ですか?それとも、社外の第3者に譲る場合のことですか?
> 1) 「2.5 セキュリティを保つべき領域での作業(A.9.1.5)」
> (4) 画像、映像、音声又はそのた記憶装置(例:携帯端末についたカメラ)は、許可されたもの意外は許可しないこと
>
> →”許可されたもの意外は許可しないこと”など、日本語的にこの文章全体が、
> 少々分かりづらいです。 いかがでしょうか?
こちらの表現は、ISO/IEC17799:2005(JISQ27002:2006)規格の「A9.1.5」に記載されている文言を引用しております。
ご指摘の通り、少々分かりづらい表現ではあるかと思います。
規格と同じ文言を使用する必要もないため、御社内で分かりやすい表現にすることをお勧めします。
例えば、以下のような表現。
「(4) 画像、映像、音声又はその他記憶装置(例:携帯端末についたカメラ)は、許可されたもの以外は、持ち込ませないようにすること。」
> 2) 「3.6 装置の安全な処分又は再使用(A.9.2.6)」
> <他の人に譲る場合>
>
> →上記の条で説明している、”他人に譲る場合”というのは、会社内部で従業員
> 同士で譲る場合ですか?それとも、社外の第3者に譲る場合のことですか?
こちらは、社内外の両方になります。
この記述の意図としては、使用していた装置には、その使用者が取扱いを許可された情報が入っており、その使用者以外の人(社内外問わず)に譲り渡す場合は、誤って情報が漏えいしないようにするということです。
よって、譲り渡す相手が、社内であろうが、社外であろうが、「物理的・環境的管理規程」に記述されているように、一度、情報セキュリティ管理者などの権限者によって、装置の初期化などを行うルールを設ける必要があります。