投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2024.5.14
(更新:2024.7.24)
ISMS(情報セキュリティマネジメントシステム)のガイドライン・ISO/IEC27002:2013の11.1.1項「物理的セキュリティ境界」では、
「取扱いに慎重を要する又は重要な情報及び情報処理施設のある領域を保護するために,物理的セキュリティ境界を定め,かつ,用いることが望ましい。」
と、物理的な”セキュリティ境界”を定め、運用することを推奨しています。
〇「物理的セキュリティ境界」を定めて運用する
たとえば小売店や飲食店では、店内にお客様をはじめ不特定多数の人が来訪しますが、「ここから先は関係者限定」というエリアを定め、セキュリティ境界の管理を行っていることと思います。
一般的なオフィスでも、非公開情報や、情報を扱うエリアを保護する必要があるでしょう。
そのため、
・外来者が立ち入ることのできる領域
・関係者のみが立ち入ることのできる領域
・関係者の中でも特別に許可された者のみが立ち入ることのできる領域
といった区別を定め、運用することが情報セキュリティ上重要です。
ここでIPA(情報処理推進機構)が公開するチェックリスト「5分でできる!情報セキュリティ自社診断」の解説資料中からも、関連する解説をご紹介しましょう。
〇見知らぬ人には声をかける
関係者以外の社内への立ち入りを制限しなければ、侵入されてしまい情報を盗み取られる危険性があります。
特にサーバーや書庫・金庫など、重要な情報の保管場所の近くには無断で立ち入りができないようにしましょう。
万が一、事務所で見知らぬ人を見かけたら、
「どちらにお取次ぎいたしましょうか?」
「ご用件は承っておりますでしょうか?」
というように声をかけると良いでしょう。
失礼のないように対応する必要がありますが、悪意をもった人には牽制になります。
(IPA「5分でできる!情報セキュリティ自社診断 解説編」より)
もし、冒頭に述べた「オフィスの物理的セキュリティ境界」が明確でないなら、速やかに境界を定めることが望ましいです。
さらに上記の「声掛け」は、アナログですが悪意を持った人物への対策として有効です。ご記憶いただくと便利かと思います。
(Primary-f/向実庵 代表)
*本編は、過去ブログ「事務所の安全管理」を再構成して投稿いたしました。
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
Comentarios