情報資産の洗い出しの目的は、管理責任者と協議し、組織の情報資産及びその価値を明確にすることです。本記事で詳しく説明します。
情報資産の洗い出し
組織のISMS適用範囲における資産の保有状況(情報がどこにあり、誰が管理し、どのような状況で扱われているか)を確認します。資産の洗い出し作業の負荷が非常に大きいことは、容易に想像できます。そこで、情報を個別ではなく、同じ性質や用途ごとにグループ化して洗い出しを行います。
以下の表にJIS Q 27002:2014「7.1.1.資産目録」の「資産の例示」を示します。
| 資産の種類 |
例示 |
| 情報 |
データベース及びデータファイル、契約書及び同意書、システムに関する文書、調査情報、利用者マニュアル、訓練資料、運転手順またはサポート手順、事業継続計画、代替手段の取決め、監査証跡、保存情報 |
| ソフトウェア資産 |
業務用ソフトウェア、システムソフトウェア、開発用ツール、ユーティリティソフトウェア |
| 物理的資産 |
コンピューター装置、通信装置、取り外し可能な媒体、その他の装置 |
| サービス |
計算処理サービル、通信サービス、一般ユーティリティ(例えば、暖房、照明、電源、空調) |
| 人 |
保有する資格、技能、経験 |
| 無形資産 |
例えば、組織の評判、イメージ |
情報資産の価値
グループ化した情報資産の価値を「機密性」、「完全性」、「可用性」のセキュリティ3要素の観点から評価します。事業者は「機密性」、「完全性」、「可用性」に関して、独自の判断基準を設ける必要があります。
以下に、機密性、完全性、可用性の資産価値の判断基準例を示します。
機密性(C)
| 資産価値 |
クラス |
説明 |
| 1 |
公開 |
第三者に開示可能。内容が漏えいしても、ビジネスへの影響は殆どない。 |
| 2 |
社外秘 |
組織内では開示可能。内容が漏えいしても、ビジネスへの影響は少ない。 |
| 3 |
秘密 |
所定の関係者のみに開示可能。漏えいすると、ビジネスへの影響は大。 |
| 4 |
極秘 |
特定の関係者のみに開示可能。漏えいすると、ビジネスへの影響は深刻かつ重大。 |
完全性(I)
| 資産価値 |
クラス |
説明 |
| 1 |
低 |
情報の内容が改ざんされても、ビジネスへの影響は少ない。 |
| 2 |
中 |
情報の内容が改ざんされた場合、ビジネスの影響が大きい。 |
| 3 |
高 |
完全性が維持できないとビジネスへの影響は深刻かつ重大である。 |
可用性(A)
| 資産価値 |
クラス |
説明 |
| 1 |
低 |
1日の情報システム停止が許される。 |
| 2 |
中 |
業務時間内の利用は保障する。1時間の情報システム停止が許容される。 |
| 3 |
高 |
必要時に確実な情報利用を保証。1分間以上の情報システム停止が許容されない。 |
情報資産洗い流し結果
情報資産ごとに管理責任者と価値を明確にし、以下の表のようにまとめます。
| 情報資産名 |
管理責任者 |
情報資産の価値 |
| 機密性 |
完全性 |
可用性 |
| 顧客情報 |
|
4 |
2 |
1 |
| 客先からの預かり資料 |
|
4 |
3 |
1 |
| 資産情報、会計情報 |
|
4 |
3 |
2 |
| 契約書 |
|
4 |
3 |
2 |
| 人事情報 |
|
3 |
1 |
1 |
| ・・・・・ |
|
|
|
|
まとめ
組織の情報資産及びその価値を明確にすることにより、ISMSの管理対象の詳細を把握し、適切な管理策を選択することが可能になります。
日本レコードマネジメントでは、電子文書管理の専門知識と豊富な経験を活かし、お客様のニーズに合った電子文書管理の体制を構築、提供いたします。お気軽にお問い合わせください。
本記事は、当社広報室にて発信しています。
