ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

ファイルサーバの管理規程を儲けようと考えています。該当するISMS文書はどこになりますか。

06.12.2020

情報資産の適切な管理を行うためにファイルサーバの管理規程を儲けようと考えています。

具体的にはフォルダの命名規則や格納場所規則などで、ファイルサーバ上の重要資産を適切に管理することが目的です。

これをISMS文書に追記するとしたら下記が該当となると考えていますがいかがでしょうか。

ISMS-B10 物理的・環境的管理規程 3.2
サポートユーティリティ(A.11.2.2)

ご指摘の箇所は、ISO 27001の管理策「A.11.2 装置」(物理的な機器に関連)に関する記載となります。

なお、ISO 27001の管理策には、「A.8.2 情報分類」というものがあり、概略としては以下のとおりです。
(ISO 27002「情報セキュリティ管理策の実践のための規範」より)

  • 「A.8.2.1 情報の分類」にて、その分類方法について、情報資産を、法定、価値、重要性及び開示又は変更に対する取扱いの重要度などから分類することが望ましいとされています。
  • 「A.8.2.2 情報のラベル付け」では、A.8.2.1の分類体系を反映して、媒体の種類やその情報がどのようにアクセスされるか、どのように取り扱われるかを考慮して、ラベルの添付場所及びその添付方法に関して手引を示すことが望ましいとされています。
  • 「A.8.2.3 資産の取扱い」では、情報を分類に従って取り扱い、処理し、保管し、伝達するための手順を作成することが望ましいとされています。

ご質問の内容は、「情報資産のハード(サーバ本体)」ではなく、「データー(サーバ内データ)」の管理についての質問だと思われますので、こちらに該当するように思われます。

それならば、「B07 情報セキュリティ運営管理規程」の「10 情報の分類」に該当する可能性もあります。

「8.2 情報分類」に該当する規定(ルール)もしくはそれに対応した手順書(ファイルサーバの管理規程)などを新たに作成し、その旨をこの項へ記載するか、追記等されてはいかがでしょうか?