同一ビルフロアー内で設備を共有する際、境界の根拠は?
20名程度の会社組織でISMSを取得しました。
その組織の同一ビルフロアー内で、組織から独立した4名程度の別会社を立ち上げて、机、ネットワーク、サーバーを共有で使うことになりました。
互いに小さな会社組織で、フロアーも狭いため、パーティションなどを置けません。
このような場合にISMS取得会社側は特に規格の何を根拠に、何をすればよいのでしょう。
考慮すべき点としては、物理的と技術的、人的 組織的、それぞれの境界になるかと思います。
そこで、以下のような対策を考慮してはどうでしょう。
(1) 物理的および人的な境界として
パーテーションなどが置けないとのことなので、以下のサポートブログを参考に、a)からe)の対応策を参考にしてはと思いますが、いかがでしょうか?
▼同じフロアでグループ会社があるとき
https://www.ismwebstore.com/support/archives/119
a) 植木、立て札、ラックなどで、御社とグループ会社の境界線が目で見ても分かるようにする。
b) 御社とグループ会社の人が目で見ても分かるようにループクリップ、名札などを社員が着用する。
c) 御社が無人となる場合(全社員帰宅時、休日など)は、個人情報(パソコン、ファイルなど)は鍵の掛かる場所に保管しクループ会社の人がアクセスできないようにする。
d) グループ会社と機密保持契約を結ぶ。
e) グループ会社の社員に対して個人情報保護(特に物理的・環境的管理規程)についての教育を行う。
(2) 技術的な境界として
ネットワークおよびファイルへのアクセス制御を行う必要があるかと思います。
(3) 組織的な境界として
仮にグループ会社だとしても別会社からサービス(ネットワーク、サーバーを共有で使う)の供給(委託)を受けるので、管理策の「A.15 供給者関係」の要求事項も必要となってきるかと思います。
