鍵付きのサーバ専用ラックに変更したが、内部監査で指摘を受けた。
今までは、内部監査を受けたのですが、サーバーなどの置き場所が、部屋の奥のほうにワイヤーラック棚にて設置してありました。
今回、内部監査を受けるにあたり鍵付きのサーバ専用ラックに変更しました。
監査責任者より、是正項目として鍵付きのラックでも高セキュリティゾーンにならないと指摘を受けました。
仕切りを作って部屋状態にしてくださいということだそうです。
以前からチェーンをかけるとかラックに鍵をかけるとかだけでいいと思っていましたが、正式には違うのでしょうか?
また、Pマークの現地審査のとき、審査員からどのような質問を受けるかわからないで、不安です。
個人情報保護管理者、各責任者などはJISQ15001、規程など暗記して答えなければなりませんでしょうか?
資料見ながらではいけませんか?項目が多すぎて、すべて覚える自信がありません。
まず、内部監査の指摘に関してですが、これはセキュリティの設定レベルに関わってきます。
(1) 会社の方針
⇒会社としてどこまで厳しくセキュリティのレベルを設定するのか?
(2) 御社で実施されたリスクアセスメントの結果
⇒リスク(脅威)の軽減策としてどこまでの対策を講じるのか?
(3) 設定されたセキュリティレベルで費用対効果が望めるのか?
などにより、どこまでのセキュリティを設定するかは各企業によって異なります。
よって正式なものは、ある意味ないものとお考え下さい。
例えば...
信号機や横断歩道の設置の必要性を例にとって説明しますと。
車などの交通量や人家・学校が少ない細い道には信号機や横断歩道は設置しませんよね。
逆に車などの交通量や人家・学校が多く、また、事故も多い、大きな道には信号機や横断歩道は設置しますよね。
場合によっては歩行者用の地下道を作りますよね。
また、車などの交通量や人家・学校が少ない細い道でも事故が多く、また地域住民からの要望が強ければ信号機や横断歩道は設置しますよね。
と、対応はさまざまとなりますよね。
一度、御社で、上記(1)、(2)、(3)を意識・考慮した監査責任者も交えた打合せを行い、自社では、どこまでのセキュリティを設定する必要があるのかをご検討されてはいかがでしょうか。
※補足
ちなみに、以下のどちらの対策でも、上記の(1)、(2)、(3)を意識・考慮しているのであれば、審査で指摘を受けることは無いと思います。
・サーバーなどの置き場所を、部屋の奥のほうにワイヤーラック棚にて設置
・サーバーなどを仕切りを作って部屋状態にて設置
重要なのは、御社の方針や考え方ということですね。
次に、審査時の対応についてですが、審査ではJIS Q 15001、規程などを見ながら回答しても問題はありませんので暗記する必要はありません。
なお、規程や様式については、御社で作成したものとなりますので内容などについては審査員から質問された時に答えられるようにして下さい。
また、個人情報保護管理者はJISQ15001も内容も理解するようにして下さい。
