ファイルサーバ管理規程はISMSのどの文書に該当する?具体的な管理ルールを教えて下さい。
情報資産の適切な管理を行うためにファイルサーバの管理規程を儲けようと考えています。
具体的にはフォルダの命名規則や格納場所規則などで、ファイルサーバ上の重要資産を適切に管理することが目的です。
これをISMS文書に追記するとしたら下記が該当となると考えていますがいかがでしょうか。
ISMS-B10 物理的・環境的管理規程
3.2 サポートユーティリティ
ファイルサーバー内の資産管理(命名規則・格納場所)をISMS文書へどう反映させるかについて回答申し上げます。
ご検討中の内容は「物理的な装置」の管理ではなく、「情報の分類と取り扱い」に関する管理策に該当します。最新規格(ISO 27001:2022)における「情報の分類(5.12)」および「情報のラベル付け(5.13)」に関連付けるのが良いでしょう。
1. 最新規格に基づく該当箇所の特定
ご質問で挙げられた「物理的・環境的管理」の「3.2 サポートユーティリティ(A.7.11)」は、停電対策などの「設備」に関する項目であるため、データの整理ルールとは切り離して考えます。
ご質問の内容はサーバー本体(ハード)ではなく、その中のデータ(ソフト)の管理ですので、以下の管理策が該当します。
- 情報の分類(5.12): 重要度(極秘・社外秘等)に応じた管理。
- 情報のラベル付け(5.13): 命名規則やフォルダ配置による識別。
- 資産の取扱い(5.10): データの作成から廃棄までのライフサイクル管理。
2. ファイルサーバー管理ルールの具体例
サンプル文書集をご利用の場合、以下の構成で追記・整備いただくのがスムーズです。
「B07 情報セキュリティ運営管理規程」の「情報の分類・取扱い」セクションに「ファイルサーバー内の管理については、『ファイルサーバー管理手順』に従う」と追記します。
なお、「ファイルサーバー管理手順」を、別途規程(または手順書)として新規に作成すれば、運用の詳細(命名規則など)の手順書に切り出すことができ、組織変更やシステム構成の変更時に柔軟にメンテナンスできるようにもなります。
規程に盛り込むべき、実務的で独自性のあるルール例を以下に紹介します。
① フォルダ命名と格付けの連動
フォルダ名の先頭に【極秘】【社内秘】といったタグを付けることで、一目で重要度が判別でき、誤操作を防止できます。また、アクセスする従業員に視覚的な注意喚起を促します。(例:01_極秘_経営企画データ)
- 第1階層: 部門・プロジェクト単位(アクセス権限の最小単位)
- 第2階層: 情報の格付け単位(01_極秘、02_社内秘、03_公開)
② ファイル命名の標準化
「最新」や「コピー」などの名称を禁止し、[日付]_[案件名]_[バージョン] の形式を義務化することで、情報の検索性を高め、誤廃棄を防止します。
例:20260415_ISMS運用マニュアル_v1.1.pdf
※禁止事項: 「最新」「重要」「コピー」といった、後から内容が判別できなくなる曖昧な名称の禁止。
③ データのライフサイクル管理
「作成から○年経過したものはアーカイブへ移動、または廃棄検討」といった期限を設けることで、サーバーの肥大化と不要なリスクの残留を防ぎます。
※一時保管の禁止: サーバー直下への「一時的な置き忘れ」を禁止し、定期的に管理者がチェックする。
3. ISMS文書への反映アドバイス
ファイルサーバーの乱雑化は、情報の紛失(可用性の低下)や意図しない漏えい(機密性の低下)に直結します。 今回のように、ISMSの枠組みの中で「ルール」を明確にし、「具体的な手順(命名規則)」へ落とし込むアプローチは、審査においても「運用が形骸化していない」と高く評価されるポイントになります。
「B07 情報セキュリティ運営管理規程」の情報の分類項目に概要を記載し、具体的な命名規則などは「ファイルサーバー管理手順書」として別添にすることをお勧めします。これにより、実務の変化に合わせて柔軟にルールを更新できるシステムが構築できます。
