ISO/IEC27001:2022附属書A新管理策「7.4物理的セキュリティの監視」解説
ISO/IEC27001:2022附属書A新管理策「7.4物理的セキュリティの監視」解説
情報セキュリティマネジメントシステム(ISMS)の要求事項であるISO/IEC27001の改訂版が、2022年版として2022年10月25日に発行されました。また、JIS版が、JIS Q 27001:2023として2023年9月20日に発行されました。管理策とは、ISO/IEC27001の附属書Aに記載された情報セキュリティリスク対策です。
このコラムでは、新規格であるISO/IEC27001:2022(JIS Q 27001:2023)への改訂にあたり新たに設けられた管理策を順次解説します。
前回のテーマは「5.30事業継続のためのICTの備え」の解説でした。4回目のテーマは、「7.4物理的セキュリティの監視」の解説です。
管理策「7.4 物理的セキュリティの監視」内容
許可されていない物理的なアクセスを事前に検知し、防ぐことを目的とした管理策です。監視をすること自体が管理策であり、物理的管理策にカテゴライズされている通り、監視カメラ、赤外線センサー等による物理的監視を想定しています。なお、要求されるセキュリティレベルに応じた監視が求められるため、前提として各領域のセキュリティレベルを検討することが必要です。また、機器を設置するだけでなく作動試験をすることも推奨しています。
今後は、人だけではなく、ドローンなどによる物理的な侵入も想定するべきでしょう。また、この管理策では想定されていませんが、侵入しなくても屋外からの撮影や集音といったリスクも想定すべきかもしれません。
※ クラウド環境への情報の移転やリモートワークを推進している組織にとっては、優先度が然程高くない管理策かもしれません。
管理策の実装例
- 機械警備サービスの導入
- 重要なシステムを収容している設備(マシンルーム等)への「監視カメラ」「侵入者の接触、音、動作を検知する検知器(窓やドアなどへの接触検知器、赤外線検知器等)」「警報器」等の設置と作業試験の実施
- 監視情報(監視のために録画した画像等)へのアクセス制御
「7.4 物理的セキュリティの監視」などのISMS管理策の解説や規格改訂について、その他ご質問・ご相談がありましたら、ご遠慮なくお声がけください。
次回は、「8.9構成管理」を解説します。
まずは、お電話またはフォームより
お問い合わせ・お見積り、もしくは資料請求をください
受付時間:平日 9:00~18:00