私たちは、すべてのオフィスペーパーをスキャンし、物理形式のドキュメントの代わりにPDFを処理することについて、マネージャーにプロジェクトを提出することを計画しています。
そのために、ドキュメントのスキャンはISO/IEC-27001ポリシーに準拠した優れた方法であると主張するためのサポートがあれば、それを探しています。
ISO/IEC 27001要件に基づくISMSの主な目的は、情報の損失や情報への不正アクセスのリスクを軽減することであることを私たちは知っています。
ただし、ドキュメントのスキャンアクティビティをISO/IEC 27001の推奨事項に合わせることができると思いますか?
ファイルのバックアップ手順は紙を保護するよりも安全であるため、PDFファイルを取得すると、物理形式のドキュメントが失われるリスクが軽減されると考えていました。
理論的には、紙の文書をデジタル化することで全体的なセキュリティを向上させることは完全に可能ですが、それは詳細と現在の環境がどの程度保護/制御されているか、そして新しいプロジェクトが展開されたときにそれが改善されるかどうかによって異なります。
このケースを検討している場合は、組織の現在のリスクレジスターを調べて、物理的なドキュメントの保存と管理に関連するものがあるかどうかを確認し、プロジェクトがこれらのリスクに対処するかどうかを評価できます。そうであれば、プロジェクトがISO27001の目標に沿っていると簡単に主張できます。
もちろん、プロジェクトによって導入された新しいリスクを考慮していないため、少し不誠実である可能性がありますが、プロジェクトのリスク登録ですでにそれらを管理していることを願っています。
調整したい場所は、主に情報セキュリティ管理システムの次のとおりです。
ISMSの適用性声明は、物理形式と電子形式の両方の情報を含むメディア処理(A.8)、アクセス制御(A.9)、および暗号化(A.10)の制御をすでにカバーしているはずです。