【ISO27002】媒体の取扱いについて – 媒体の処分
ISO27001 で構築した情報セキュリティマネジメントシステムを効率的に運用するために策定された情報セキュリティの管理策集であるISO 27002では、媒体の管理方法についてもまとめられています。
前回は媒体の中でも移動・取り外しが可能な媒体の管理方法について解説してきましたが、今回は、媒体の処分方法についてもISO27002に沿って解説していきたいと思います。
媒体の処分方法
前回、組織が管理する情報を守るためには媒体を適切に管理する必要があるということをご紹介しました。なぜなら媒体には以下のようなリスクがあるためです。
- 復元が可能である
- 持ち運びが用意な媒体がある(内部からの漏洩)
- 紛失しやすい媒体がある(取り外しが容易である場合)
さて、こういった観点から見ても情報資産を記録し、保存してある媒体は管理する必要があるのですが、「管理する」という行為は非常に大変です。ーー何が言いたいのかというと、管理するものはできるだけ少ないに越したことがないということです。
媒体は非常に便利なものでありますが、その媒体は適切に管理しなければリスクでしかありません。ーーつまり、不要になった媒体は即刻処分することが情報セキュリティの観点から言えば望ましいのです。
しかし、媒体の処分も適当に行って良いものではりません。例えば紙媒体であっても復元可能な状態で廃棄することは望ましいとはいえませんよね? 重要な情報が記録された媒体はシュレッダーにかけて復元出来ない状態にしてから廃棄することが望ましいのです。
ISO27002における媒体の処分
ISO27002でも媒体の処分方法について、以下のような項目を考慮して処分方法を管理する必要があると記載されています。
a)秘密情報を格納した媒体は,セキュリティを保って,保管し,処分する(例えば,焼却,シュレッダーの利用,組織内の他のアプリケーションでの利用のためのデータ消去)。
b)セキュリティを保った処分を必要とする品目を特定するために,手順が備わっている。
c)取扱いに慎重を要する媒体類を選び出そうとするよりも,全ての媒体類を集めて,セキュリティを保ち処分するほうが簡単な場合もある。
d)多くの業者が,媒体の収集及び処分のサービスを提供している。十分な管理策及び経験をもつ適切な外部関係者を選定することに,注意を払う。
e)監査証跡を維持するために,取扱いに慎重を要する品目の処分を記録しておく。
ISO27002
要点をまとめると、以下のようになります。
- 処分するまではセキュリティが保たれた状態にする
- PCなどのデジタルデータの場合は、他アプリケーションでその情報が利用されている可能性を考慮して情報を処分する
- 組織内で処分をすることが難しい場合は、外部業者にリスクを委託することも考慮する
- 何をどのように処分したのかということは、追跡可能な状態を保つ
リスクアセスメントを行った上で処分しよう
さて、とりわけデジタル媒体は通常非常に様々な情報を保有しています。また、その情報がどこに保存されているかということが時には考えが及ばないこともあるでしょう。ーー例えば、データベース上から削除したつもりでも、バックアップとして保管してあったデータベースにはその情報が存在しており、処分出来ないことも考えられます。
このため、デジタルデータに限った話ではありませんが、リスクアセスメントを行い、媒体を処分する工程を明確にした上でリスクアセスメントを実施することが望ましいでしょう。時には別の処分方法が望ましいことに気づくかもしれません。
まとめ
今回は、媒体の取扱いについて解説してきました。繰り返しになりますが、媒体は非常に便利なものも多いです。しかし同時にそれを使用することはリスクを増やすことにもなります。情報セキュリティ観点からどのようなリスクがあるのかということはしっかりと洗い出した上で使用し、完全に処分することが出来るまでは適切に管理するように心がけておきましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい