ISMSの管理策におけるアクセス制御の考え方を解説します。適切なアクセス権限設定は、JIS Q 27001:2023の管理策「5.15 アクセス制御」「5.18 アクセス権」「8.3 情報へのアクセス制限」の3つが該当します。ルール策定から実装、定期レビューまで多層的な対策を行うことが、機密性維持の鍵となります。
ISMS全般
このサイトは、ISM Web store の公式サポートブログです。
ISMS(ISO27001)の体制構築から運用に関する質問と回答です。
クリアデスクとは、離席時や退社時に机上の情報を放置しないルールです。各自の鍵付きサイドキャビネットへの保管はISMSの観点で有効な対策となります。キャビネット自体の固定は必須ではなく、施錠と鍵の管理を徹底することが重要です。情報漏えいを防ぐ本質的な運用ポイントを解説します。
入退室の静脈認証は物理的安全管理に該当し、PCログイン等の指紋認証はアクセス管理規程で扱うのが適切です。ISMSでは「誰が許可された者か」を周囲が判別できる視覚的識別が求められます。ストラップの色分け等、安価で効果的な識別改善策と規程運用のポイントを解説します。
同一フロアに別法人が混在する場合、ISMSやPマークの運用では「管理区域」の明確な定義が重要です。物理的境界により貴社の執務エリアに立ち入らない構造であれば、別法人の従業員や来客への名札着用は不要です。区域ごとの管理ルールを明文化し、自社の情報資産を守る境界線を引くことが適切な運用のコツです。
委託内容が多様な際のセキュリティ要求事項は、内容が網羅されていれば必ずしも個別の作成は不要です。ISMS(ISO 27001)の管理策に基づき、供給者との合意において誤解を防ぐことが重要です。委託先ごとの条件に応じた判断基準や、契約書への反映方法を詳しく解説します。
ISMS取得の諸経費は、原則として審査費用のみですが、規格書の購入費が必要です。また、社内のセキュリティ状況に応じてウイルス対策ソフトや物理設備の整備費用が発生する場合があります。認証取得に必要な追加コストの具体例と注意点を専門家が詳しく解説します。
ISMSとPマークにおけるGitHub等ソーシャルネットワークの委託先管理を解説。ISMSでは個人情報の有無に関わらず委託先認証が必要ですが、Pマークは個人情報の取扱がなければ不要です。資産管理や規約確認の重要性を踏まえ、外部サービス利用時の適切な管理手順とリスク対策を回答します。
情報資産のグループ化からリスク分析までの手順を解説します。ISMS運用では資産価値の「平準化」が重要です。同じグループ内で最大の資産価値を基準に統合することで、リスクグループ分析対策表の作成を効率化できます。JIPDECガイドに沿った適切なリスクアセスメントの流れを詳しく確認しましょう。
ISMSの情報資産におけるグルーピングとは、リスク対応を効率化するために資産をまとめる工程です。保管場所が異なり情報漏えいリスクに差がある場合は別グループとしますが、机やキャビネット等の同レベルの環境なら共通の分類コードで管理可能です。適切な資産管理の手順と注意点を解説します。
Pマークの緊急事態への準備におけるJIPDECへの報告基準を解説します。電話による第一報は、重大な事故や再発防止策の決定に時間を要する場合に行うのが原則です。通常の事故報告は対策完了後の提出となります。実務上の判断基準と具体的な報告フローを確認し、適切な事故対応を目指しましょう。
