ISO/IEC27001:2022附属書A新管理策「8.10情報の削除」解説
公開:
ISO/IEC27001:2022附属書A新管理策「8.10情報の削除」解説
情報セキュリティマネジメントシステム(ISMS)の要求事項であるISO/IEC27001の改訂版が、2022年版として2022年10月25日に発行されました。また、JIS版が、JIS Q 27001:2023として2023年9月20日に発行されました。管理策とは、ISO/IEC27001の附属書Aに記載された情報セキュリティリスク対策です。
このコラムでは、新規格であるISO/IEC27001:2022(JIS Q 27001:2023)への改訂にあたり新たに設けられた管理策を順次解説します。
前回のテーマは「8.9構成管理」の解説でした。6回目のテーマは、「8.10情報の削除」の解説です。
管理策「8.10 情報の削除」内容
情報の削除自体は旧規格のいくつかの管理策でも言及されていましたので、純粋な新設管理策とは言えないかもしれません。不要となった情報の削除という切り口で、独立した管理策として取り上げられたとお考えください。
なお、削除の前提として、各種要求を考慮した情報を保持する期間の決定や削除方法の検討が必要となります。
「いつか使うかもしれないから消さないでおこう、捨てないでおこう」という考えは、情報漏洩のリスクを高めてしまうということです。
管理策の実装例
- 専用ソフト(データ破壊やデータ上書き等)の導入
- 削除業者の利用と削除証明の取得
- 媒体の破壊等、媒体に合わせた処分手順の導入
- システムによるデータ削除(一定期間経過後に自動的に削除する等)の導入
- 削除記録の作成
「8.10 情報の削除」などのISMS管理策の解説や規格改訂について、その他ご質問・ご相談がありましたら、ご遠慮なくお声がけください。
次回は、「8.11 データマスキング」を解説します。
まずは、お電話またはフォームより
お問い合わせ・お見積り、もしくは資料請求をください
受付時間:平日 9:00~18:00