Q:サーバルームは入退室記録を記録していませんが 大丈夫でしょうか?
特殊要員による作業や特殊設備での作業については、日常の業務において継続的に監視することができないため、作業内容を記録することによって内部監査などのタイミングにおいて、その正当性について点検することが必要である。サーバルーム内での作業は通常の社員では実行できないような機密性の高い、あるいは危険性の高い性質を持つことが多いにもかかわらず、高度な知識や技術を必要とすることから、特定少数の要員に委ねられしまうことになる。作業者側からしても、自身の正当性を証明するものとして大変重要な証拠となるものである。
ISMSではサーバルームは入退室記録を記録なさいという要求はありません。御社又は顧客等からの要求がなければ記録する必要はありません。
サーバルームは入退室記録をしないと、情報資産を守れない場合や、情報資産の価値が損なわれる場合は記録もよく行なわれる対策の一つです。サーバルームのセキュリティ対策の方法は沢山ありますので、自組織のリスクを分析して、必要と思われる方法をリスクの大きさに見合った対策を採用するのが良いでしょう。
付属書A..9.1.2物理的入退管理策では、「入退室記録を必ずとらなければならない」という要求事項はありません。管理策としては、特定の人だけが鍵を持っていてその人しか入れないようにしてあることでもよいでしょう。一方、誰でもが自由に入れるというのであれば、入退室記録を取るとか、サーバルームはビデオ撮影(監視)されているとかでないと管理策を講じたことにならないかもしれません。 そもそも「入退室記録」は、悪意のある者に対する管理策としては、あまり意味がありませんが。
(いままで、ここでコメントしたことがないときは、コメントを表示する前にこのブログのオーナーの承認が必要になることがあります。承認されるまではコメントは表示されません。そのときはしばらく待ってください。)
この情報を登録しますか?
コメント: (スタイル用のHTMLタグが使えます)
特殊要員による作業や特殊設備での作業については、日常の業務において継続的に監視することができないため、作業内容を記録することによって内部監査などのタイミングにおいて、その正当性について点検することが必要である。サーバルーム内での作業は通常の社員では実行できないような機密性の高い、あるいは危険性の高い性質を持つことが多いにもかかわらず、高度な知識や技術を必要とすることから、特定少数の要員に委ねられしまうことになる。作業者側からしても、自身の正当性を証明するものとして大変重要な証拠となるものである。
ISMSではサーバルームは入退室記録を記録なさいという要求はありません。御社又は顧客等からの要求がなければ記録する必要はありません。
サーバルームは入退室記録をしないと、情報資産を守れない場合や、情報資産の価値が損なわれる場合は記録もよく行なわれる対策の一つです。サーバルームのセキュリティ対策の方法は沢山ありますので、自組織のリスクを分析して、必要と思われる方法をリスクの大きさに見合った対策を採用するのが良いでしょう。
付属書A..9.1.2物理的入退管理策では、「入退室記録を必ずとらなければならない」という要求事項はありません。管理策としては、特定の人だけが鍵を持っていてその人しか入れないようにしてあることでもよいでしょう。一方、誰でもが自由に入れるというのであれば、入退室記録を取るとか、サーバルームはビデオ撮影(監視)されているとかでないと管理策を講じたことにならないかもしれません。
そもそも「入退室記録」は、悪意のある者に対する管理策としては、あまり意味がありませんが。