ISO27001 COLUMNISO規格の知識コラム(ISO27001)
ISO27001 コラム
ISMS(情報セキュリティマネジメントシステム)の導入において、最初に押さえるべき重要なポイントが「情報資産の管理」です。
情報資産とは、企業が保有するあらゆる情報のことで、適切に特定・分析・評価することがISMSの目的そのものと言えます。
本記事では、情報資産の定義から具体例、洗い出し方法、さらに審査に必須となる情報資産管理台帳まで、実務担当者が理解すべきポイントをわかりやすく解説します。
情報資産とは会社が保有するあらゆる情報のことで、個人情報に限らず幅広い範囲を指します。
紙、システム上のデータに加え、音声・画像・映像なども含まれます。
ISMSではこれら情報資産を適切に管理することが目的であり、まずは自社が持つ情報資産を正確に把握することが重要です。
情報資産には多様なものが含まれます。
このように幅広く存在します。
情報資産は「情報そのもの」だけでなく、それを保存・活用する媒体も含まれます。
ここでは紙情報、電子データ、ハードウェア、ソフトウェア、その他に分類して解説します。
紙情報とは、紙媒体に記録された情報のことです。
履歴書、名刺、契約書、各種申請書や報告書などが含まれ、業務上の証跡として重要な資産となります。
電子データとは、印刷前の元データやオンライン上で作成・保存されるデータの状態で管理されている情報を指します。
販売や仕入れの集計データ、社内の申請書類や報告書、電子メールでのやりとりなどが含まれ、日常的な業務で大量に生成・利用される代表的な情報資産です。
ハードウェアとは、電子データを保存・利用する物理的媒体です。
社内サーバー、PC(デスクトップ・ノート)、スマートフォン、タブレットなどが含まれます。
ソフトウェアとは、データを管理・活用するためにハードウェアへ導入するツールで、会計ソフト、タレントマネジメントソフト、顧客管理システムなどがあります。
その他にはクラウドサービスがあり、インストール不要でネットワーク上にデータを保存・管理するサービスです。
加えて通信、電気、空調などの各種サービスも情報資産に含められます。
情報資産の洗い出しは、まず業務フローをもとに考えるのが効果的です。
業務の一連の流れで発生・利用するデータやシステムを順にピックアップしていきます。
また、日常業務であまり使わないものであっても、紛失・漏洩・改ざんされると重大な影響を及ぼす情報は必ず挙げるべきです。
この段階では評価や整理は後回しにし、管理対象となり得るものをとにかく幅広く洗い出すことが重要です。
洗い出した情報資産は、それぞれにリスク評価を行います。
重要性、利用頻度、アクセス範囲などを確認し、ISMSの基本的な考え方である「機密性」「完全性」「可用性」の3つの視点から評価します。そのうえで、影響度の大きいものから優先順位をつけ、1つずつリスクへの対応方針を決定していくことが必要です。
これにより、効率的かつ効果的に情報資産を管理できます。
「情報資産管理台帳」とは、自社が保有する情報資産とそれぞれのリスク評価を一覧化したものです。
ISMSは本来、情報資産を適切に管理することを目的としており、その実現において台帳は欠かせない存在です。
さらに、ISMSの取得や維持のために実施される監査では、この情報資産管理台帳の提出が求められるため、正確かつ網羅的に作成しておくことが極めて重要となります。
情報資産管理台帳は、情報資産を一元的に把握・管理できるだけでなく、情報セキュリティポリシーの策定や見直しにも活用される重要な基盤となります。
情報資産管理台帳には、各情報資産の特性や管理状況を明確にするための項目を記載します。
主な内容としては以下のようなものが挙げられます。
これらを整理することで、資産ごとのリスクや管理体制を一目で把握できるようになります。
重要度の評価では、各情報資産について「機密性」「完全性」「可用性」の3つの観点から重要度を判断します。
その際はリスク特定 → リスク分析 → リスク評価の順で進め、優先順位を明確にしたうえで、優先度に応じた対応方法を事前に決めておくことが重要です。
ISMSをはじめ、ISO認証機関の選び方は以下の記事でくわしく解説しています。
ISMSにおけるリスクアセスメントとは?情報セキュリティ対策を具体的に解説 – ジーサーティ・ジャパン
情報資産管理台帳は、策定した方針に基づいて日常的に運用し、定期的な更新を行うことが求められます。
特に1年に1回程度の見直しが望ましく、新たなセキュリティリスクの出現や社会情勢・市場環境の変化により、情報資産の重要度が変わる可能性があります。
そのため、各部門が内容を確認し、必要に応じて修正・追加を行うことで、常に最新かつ実効性のある管理体制を維持できます。
ISMSにおける情報資産とは、企業が保有するあらゆる情報と、それを保存・利用する媒体を含む広い概念です。
まず業務フローに沿って情報資産を洗い出し、管理台帳に整理することが導入の第一歩となります。
その後、機密性・完全性・可用性の観点からリスクを評価し、優先順位をつけて対応方針を決定します。
さらに、定期的な見直しと更新を行うことで、ISMSの本質である「情報資産の適切な管理」を継続的に実現できます。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
一審査員として、社会貢献ができるよう努めてまいります。 また、営業面ではお客様にとって、より良い提案ができるよう、お客様とのコミュニケーションを大事にしております。
お問い合わせはこちら
0800-888-0442
