2023年10月13日
ISMS(ISO27001)で抑えるべき情報資産洗い出しのたった1つのポイントは、業務フローに沿って洗い出しをすることです。
ISMSでは業務フローに沿って情報資産の洗い出しをしなければ、抜けのないリスクアセスメントができません。
1.情報資産とは?
情報資産とは、簡単に言うと「会社が持っている情報」です。
具体例としては、従業者の履歴書などの個人情報をはじめ、会社の決算情報やお客様との契約書などがあげられます。
またその情報そのものだけでなく、情報が保管されているPCなどの媒体やシステムなども情報資産と言えます。その他、自社の情報を保管している外部のクラウドも、自社の情報が保管されているという意味では自社の情報資産となります。
そのため、書類、電子データやハードウェアなど情報資産の形態は様々です。
万が一、その情報を漏えい、紛失してしまった場合に会社に不利益を被るものは情報資産として適切に管理をするのがよいでしょう。
2.情報資産に該当するものは?
情報資産に該当するものは、いくつかのカテゴリーに分けられます。
・紙情報(紙で管理している情報)
・電子データ(データで管理している情報)
・ハードウェア(データを取り扱うインターフェースとなる媒体)
・ソフトウェア(ハードウェアにインストールして利用するツール)
・クラウドサービス(外部サービス)
紙情報は、
「履歴書」「賃金台帳」「名刺」など紙媒体に情報が記載されている場合が該当します。
一番目に付く情報なので、イメージしやすいかもしれません。
電子データは、
紙情報としてアウトプットされる前に、PC上で作成するデータ等が該当します。
紙情報の元データをイメージすると分かりやすいかもしれません。
ハードウェアは、
「デスクトップPC」「ノートPC」「NAS」など、社内で取り扱う情報端末を指します。
こちらも日々取り扱う為、パッと思いつきやすいと思います。
ソフトウェアは、
「会計ソフト」「アンチウイルスソフト」などPCにインストールして使うものです。
システムという表現の方が、なじみがある方も多いかもしれません。
クラウドサービスは、
ソフトウェアと近いものですが直接インストールするものではなく、ネットワークに接続して、外部サービスを使う場合を想定しています。ストレージサービスやカレンダー、チャットツール等多岐にわたります。
3.情報資産洗い出しのポイント
情報資産の洗い出しのポイントは、まず業務フローを確認しながら洗い出しをすることです。
お仕事の受注から納品までの一連の流れを確認し、その流れの中で発生する書類やデータ、使用するシステムなどを確認していくことで情報資産は洗い出しやすくなるでしょう。
業務フローに沿って洗い出しをした後、他に自社の情報資産がないか確認する方法としては、紛失したり、漏洩したり、壊れたりしたときに困るものは何だろう?という観点で洗い出しをしてみることです。
「情報資産」で考えるとなかなか洗い出しが難しいですが、漏えいしたら会社にとって不利益を生むかもしれないといった観点で考えてみると思い浮かびやすいのではないでしょうか?
併せて、書類、データ、ソフトウエア、ハードウエア、サービスなどの分類で分けて洗い出してみるとより自社の情報資産を洗い出すことができます。
4.情報資産に必要な項目
情報資産に必要な項目は、誰がその情報を利用することができるのかという資産利用の許容範囲や、社外秘情報なのか、極秘情報なのかなどの情報管理区分などがあげられます。
情報の管理区分については、どれくらい慎重に取り扱わなければならないかという観点から分類をするとよいでしょう。
5.情報資産の管理方法は?
情報資産の管理方法は、「2.情報資産に該当するものは?」にあげた情報資産のカテゴリー、詳細項目毎に異なります。
そして、まずは、リスクアセスメント(評価)が必要です。
情報の重要性、利用頻度、アクセス範囲など様々な項目を複合的に評価しリスク値を洗い出します。
リスクがゼロということはほぼあり得ませんが、全て対応しなければならないというものでもありません。
リスク値を洗い出した後、優先順位をつけてリスク対応(リスクを低減するための施策)を決定します。
例えば、「名刺(紙情報)」を従業員が個人ごとで管理しているとします。
管理方法を会社管理にすると意思決定した場合、スキャンデータをNASに保管する方法や、会社指定の名刺管理クラウドサービスなどに保管、紙媒体は廃棄する等、「名刺(紙情報)」を会社で保管しないという方法がリスク対応です。
他にも、給与明細を経理担当者が作成、個人にメールで送信というプロセスを実施している場合、給与管理ツールを導入して、本人がアクセスして給与明細を入手するというプロセスに変更すると経理担当者に属人化するリスクを低減することができます。
リスクアセスメント、リスク対応に関する記事も併せて参照ください。
ISMS(ISO27001)リスクアセスメントとは|手順と実施方法3選
ISMS(ISO27001)におけるセキュリティリスクへの対応(4つの思考法)
6.情報資産管理台帳とは?
「情報資産管理台帳」とは、洗い出した情報資産を管理する為の台帳で、大まかにいうと自社の情報資産を一覧化したものです。
ISMSを運用する範囲で取り扱う全ての情報資産を洗い出し、一元管理します。
(1)情報資産管理台帳に必要な項目とは
情報資産管理台帳には以下のような項目を特定します。
例)
・情報資産名 :「名刺」「ノートPC」など取り扱う情報資産を記載します
・情報資産区分:電子媒体、ソフトウェアなど2で洗い出した項目のどこに該当するかを記載します
・許容範囲 :アクセス権の範囲を明確にします。経理部、管理本部、本部長以上など
・リスク所有者:アクセス権のトップを特定します。部門管理であれば部長、極秘情報であれば社長など
・保管場所 :キャビネット、ノートPC、クラウドサーバなど情報資産の保管場所を特定します
・保管期間 :電子媒体は保管期間の定義があいまいになりがちですが、ここでは保管期間を定めます
上記以外にも他の項目を特定するケースがありますが、項目を増やしすぎても毎年の更新管理が大変になったり、見にくい資料になる可能性があるので、必要な項目だけに絞ることが重要です。
(2)情報資産管理台帳の運用方法
情報資産管理台帳の運用方法は、自社で決めることができますが、
一般的な方法は1年に1度、各部署で情報資産の棚卸をして更新する方法です。
新規認証タイミングであらかた情報資産を特定すると思いますが、
会社の状況は日々変わっている為、1年に1度は各部門で内容を見直しして、
新たに取り扱い始めた情報資産のリスクアセスメントが漏れないようにすることが大切です。
ISMSでは変化点管理が重要ですので、1年間で変更があった項目にリスクがあると考えると
リスク対応も決めやすくなるかもしれません。
7.まとめ
ISMS(ISO27001)のリスク評価の実施方法については、まず資産の洗い出し、その次に機密ISMS(ISO7001)で抑えるべき情報資産の洗い出しのポイントは業務フローに沿って洗い出しをすることです。
情報資産を洗い出し、適切に管理をしていきましょう。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ