投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2023.2.21
(更新:2024.5.1)
USBメモリやSDカード、DVD-Rなどの小型可搬媒体は、軽量コンパクトかつ大容量で、電子データの移動や保管等に便利ですが、その長所があだとなり、移動中に落下するなどして紛失しやすかったり、また電子データの不正な持出しや窃取等に悪用されるおそれもあります。
ISMS(情報セキュリティマネジメントシステム)の認証基準であるISO/IEC27001:2013の附属書Aの「A.8.3.1」項では、取り外し可能な媒体の管理を求めています。
上述のような取り外し可能な媒体に対しては、
・管理台帳で各媒体について最新情報を管理し、利用範囲や保管場所などを明確にする
・認可されていない媒体は利用を禁止する
・情報が保管されている媒体の安全な保管方法を明確にする
・外部への持ち出しを管理する
・重要な情報を保存する媒体は暗号化などを行う
・媒体の安全な処分方法を定め、それに従って処分する
・処分を外部の業者等に委託する場合は、適切な管理と処理ができる委託先を選定する
といった対策及びルールを明確にし、それらを適切に運用することが望ましいです。
〇ノートPC、タブレットやスマートフォンも「小型可搬媒体」になりえます
本ブログには「USBメモリ」の画像を添えましたが、上記のような管理の対象とする小型可搬媒体に何が該当するのかは事業者様によっても異なります。
ノートPCやタブレット端末、あるいはスマートフォンに重要情報を格納するならば、それらを小型可搬媒体として管理対象にする場合もありえます。
〇何が「小型可搬媒体」に該当するか、定期的な確認を
業務の変化や時間経過とともに対象となる小型可搬媒体は変化しますので、定期的な再確認や見直しも必要です。
年に一回程度は、最新の業務運用に照らして、「何が小型可搬媒体に該当するか」を見直しされるのがよいと思います。
〇ご参考ブログ:
(Primary-f/向実庵 代表)
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
Comments