JIS Q 27001:2014年版の「A11.2.5 資産の移動」に関する質問
2024/10/15
ISMSサンプル文書集. 193 views
JIS Q 27001:2014年版の「A11.2.5 資産の移動」では、事前の認可なしでは、構外に持ち出してはならないということで、出張時にはPCに関しては、申請してから持ち出すことにしていたのですが、JIS Q 27001:2023年版になると、A7.10の記憶媒体に統合されると思います。
この辺りに関して、明記されていた内容がなくなっていますが、特に、認可の必要性はなくなったと考えて良いでしょうか?
ご指摘のとおり、「11.2.5 資産の移動」は、「8.3.1 取外し可能な媒体の管理」及び「8.3.2 媒体の処分」、「8.3.3 物理的媒体の輸送」の管理策と合わせ「7.10 記憶媒体」に統合されました。
これら4つがマージされて、表現がより汎用化された管理策となりましたが、内容としては、ほぼ同じものと考えて良いかと思います。
ちなみに、JIS Q 27002:2023の「手引」では、JIS Q 27002:2014の「8.3.3 物理的媒体の輸送」及び「11.2.5 資産の移動」の手引きの記載が無くなっているため、管理策は必要ないのではないかと思われますが、実際は、「8.3.3 物理的媒体の輸送」は「取外し可能な記録媒体の管理において、考慮すべき事項」に、また「11.2.5 資産の移動」においては「利用」の一環として考慮されることになっております。
よって、従来の管理策「A11.2.5 資産の移動」は、「B11 通信・運用管理規程」の「8.4 資産の移動」に記載場所を移動して、規定しております。
詳細は、収録されております「新版移行ガイド_ISMS規程集_2023」が参考になるかと思います。
あわせてご参考ください。
