投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2023.8.17
(更新:2024.4.17)
ISMS(情報セキュリティマネジメントシステム)のガイドライン・ISO/IEC27002:2013の11.2.5項「資産の移動」では、
「装置,情報又はソフトウェアは,事前の認可なしでは,構外に持ち出さないことが望ましい。」
と、資産の持出し前に予め許可を得ることを推奨しています。
また、IPAが提供するチェックリスト「5分でできる!情報セキュリティ自社診断」の解説編中、診断編NO.13「持ち出しのルール」には、持出し管理についてより具体的に解説されていますので以下に引用します。
-----------------------
重要情報は安全な方法で持ち出す
重要情報を社外へ持ち出す場合、思わぬ盗難にあったり、うっかり紛失したりすることがあります。ノートパソコンやスマートフォンの利用にあたってパスワードの入力を求めるように設定したり、データファイルを暗号化するなどの対策を事前に行うことで、盗難や紛失の際に情報を簡単に読み取られることができないようにしましょう。
(対策例)
●重要情報の持ち出しは許可制にして記録する。
●ノートパソコン・スマートフォン・USBメモリなどはパスワードロックをかける。
●カフェやホテル、駅など公共の場所でテレワークを行うときにはパソコンや書類を放置しない
-----------------------
〇よくある持出し管理の運用例
持出し管理を具体的に遂行する際には、
・社内ルールを定めて何が管理対象か、どんな対策を行うかをを明確にし、
・都度記録する管理簿フォームも準備する。
・持出しの都度、対象となる情報資産を管理簿に記録し、
・管理者等の承認を得てから持ち出す。
・持ち出し作業が終わったら対象物を戻すなど後処理を行い、
・作業完了の旨を管理簿に記録し、管理者の確認を得て終了。
といった運用が多くの組織で行われていると思います。
〇「情報の分類」も重要です
さらに、持出し管理を有効に機能させるため、業務で利用する情報の分類を行うことは重要です。
業務で使用する情報に明確な分類が行われ、表示(ラベル付け)がなされると、利用者はどのような取り扱いや保護が必要なのか、理解が容易になります。
一般に、情報セキュリティ三要素中の機密性に基づき、「情報の分類」を以下のように定める場合は多いと思われます。
(例)
・極秘:開示対象は経営者などに限られ、特に取り扱いに注意を要する情報
・秘密:一部の組織や秘密保持契約提携先にのみ開示可能な情報
・社外秘:社内のメンバーにのみ開示可能な情報
・公開:一般に公開している情報
*ほかに、完全性や可用性に基づく分類もあります。
情報の分類については、別ブログ「業務で使う情報は、分類を明確に」にまとめておりますので、よろしければご覧ください。
〇ご参考ブログ:業務で使う情報は、分類を明確に
(Primary-f/向実庵 代表)
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
コメント