ドキュメントとISO-27001のスキャン
私たちは、すべてのオフィスペーパーをスキャンし、物理形式のドキュメントの代わりにPDFを処理することについて、マネージャーにプロジェクトを提出することを計画しています。
そのために、ドキュメントのスキャンはISO/IEC-27001ポリシーに準拠した優れた方法であると主張するためのサポートがあれば、それを探しています。
ISO/IEC 27001要件に基づくISMSの主な目的は、情報の損失や情報への不正アクセスのリスクを軽減することであることを私たちは知っています。
ただし、ドキュメントのスキャンアクティビティをISO/IEC 27001の推奨事項に合わせることができると思いますか?
ファイルのバックアップ手順は紙を保護するよりも安全であるため、PDFファイルを取得すると、物理形式のドキュメントが失われるリスクが軽減されると考えていました。
理論的には、紙の文書をデジタル化することで全体的なセキュリティを向上させることは完全に可能ですが、それは詳細と現在の環境がどの程度保護/制御されているか、そして新しいプロジェクトが展開されたときにそれが改善されるかどうかによって異なります。
このケースを検討している場合は、組織の現在のリスクレジスターを調べて、物理的なドキュメントの保存と管理に関連するものがあるかどうかを確認し、プロジェクトがこれらのリスクに対処するかどうかを評価できます。そうであれば、プロジェクトがISO27001の目標に沿っていると簡単に主張できます。
もちろん、プロジェクトによって導入された新しいリスクを考慮していないため、少し不誠実である可能性がありますが、プロジェクトのリスク登録ですでにそれらを管理していることを願っています。
調整したい場所は、主に情報セキュリティ管理システムの次のとおりです。
- 適用性に関する声明:ISMSの範囲内で、利害関係者の追加の法的/規制要件および契約上の義務がありますか(たとえば、特定のカード会員データを電子的に保存することは、PCI DSS要件、契約上の合意に準拠していません)クライアントと一緒に、データを許可なく複製してはならないと述べています)。
- リスクアセスメント/治療:(情報を電子的に保存/送信/開示する場合とハードコピーを介する場合とでは、CIAに許容できない大きなリスクがありますか)
- ビジネス継続性:(メディアが利用できなくなった場合に、情報を何らかの方法で保存すると、重要なビジネス機能を運用する能力にどのように影響しますか)
ISMSの適用性声明は、物理形式と電子形式の両方の情報を含むメディア処理(A.8)、アクセス制御(A.9)、および暗号化(A.10)の制御をすでにカバーしているはずです。