ここでは、情報セキュリティの具体化にあたってポイントとなる、物理的対策、技術的対策、人的・組織的対策のうちの物理的対策に関しての概要を紹介します。
ISO/IEC27001の付属書Aに列挙された管理策を参照していきます。
ただし、これらはあくまで概念的なものであり、それぞれの企業組織が自らの情報セキュリティを具体化するには不足している面もあるので、参考となる管理策についても解説していきます。
施設、オフィスの物理的対策について
施設、オフィスの物理的対策に関し、付属書AではA.11.1項にまとめられてます。
対象としているのは、業務が行なわれる施設やオフィスに対して、許可されていないアクセス、業務の妨害あるいは損傷が行なわれることを防ぐための管理策と火災や自然災害といった環境面での脅威から保護するための管理策です。
管理対象に対する想定される脅威と脅威を取り除くための管理策の例として下記にまとめています。
これら管理目的、管理策を参考に、それぞれの企業、組織が決めた施設、オフィスに対応したISMSの適用範囲に対して具体的な管理策を決めていくことになります。
物理的脅威に対する管理策
管理対象:脅威
→ 管理策
物理的セキュリティ境界:物理的な不正アクセスによる妨害、損傷:
→ ・境界を設け、許可された者以外が境界の内部に入ることを防止する。
・具体的には壁、入退室を管理できる扉、有人の受付の設置等。
・重要な施設、装置が設置されている部屋はIDカード、生体認証などで制御された扉を設ける。
物理的な入退管理策:物理的な不正アクセスによる妨害、損傷:
→ ・訪問者に対する入退出記録保持
・訪問者に対するセキュリティ要求事項や緊急時の手順の周知
・訪問者に対する監督、訪問者カードなどによる識別、アクセス制御カード等によるアクセス制限等
オフィス、部屋及び施設のセキュリティ:・物理的な不正アクセスによる妨害、損傷
・不適切な安全衛生環境(温湿度、CO2濃度等)による業務、設備に対する影響:
→・部外者のアクセスを困難にするような設計
・重要な業務が行なわれている場所は目的を明示するような表示、案内板の設置内線番号の表示等を避ける
・安全衛生に関する規制、標準に基づいた設計、設備の設置
外部及び環境の脅威からの保護:・火災、地震、風水害等の自然災害による業務の停止
・外部からの悪意のある攻撃(テロ等):
→・火災に対する対応策の設置(火災検出、警報装置、消火設備避難誘導設備等)
・地震に対する転倒・落下防止策の設置、耐震・免震施設の利用等
・バックアップ施設の事前準備
セキュリティを保つべき領域での作業:情報資産の不正持ち出し、改ざん、破壊:
→・セキュリティを保つべき領域の隔離(必要な人にしか知らせない)、入退室管理。作業が必要な人以外の入室禁止
・監視カメラ等による監視
・記録媒体、カメラ付き携帯・スマートフオン等の持ち込み禁止
(物品、機材等の)受け渡し場所:物理的な不正アクセスによる妨害、損傷:
→・受け渡し場所をセキュリティを保つべき場所から隔離する
・受け渡し場所への入退室の管理
関連記事