2026年3月25日
目次
もっと見る
「ISMSにおける“情報資産”って具体的に何を指すの?どこまで管理対象に含めればいいの?」
このような疑問を持つ担当者は少なくありません。
情報セキュリティの国際規格であるISO27001では、情報資産の特定と管理がリスクアセスメントの起点となり、認証審査でも最も重視されるポイントです。ところが、情報資産の範囲を曖昧にしたまま台帳を作成すると、審査で不適合を指摘されたり、実務で管理が形骸化してしまうリスクがあります。
この記事では、情報資産の定義や境界判断の基準から、紙情報・電子データ・ハードウェア・ソフトウェア・クラウドサービス・外部委託といった具体例まで体系的に整理します。さらに、洗い出しの手順やヒアリングのコツ、リスクアセスメントとの関係、管理台帳の作り方と運用方法、そしてよくある失敗事例とその対策までを実務目線で解説します。
最後までお読みいただくことで、情報資産管理の全体像を理解し、ISMSを効果的に運用するための実践的な知識が身につきます。セキュリティレベルを高め、組織の信頼性を強化するための第一歩として、ぜひ参考にしてください。
1.ISMS(ISO27001)における「情報資産」とは何か
(1) 情報資産の定義
ISMS(ISO/IEC 27001)における「情報資産」とは、組織にとって価値があり、保護すべき情報およびそれを扱う媒体・仕組みの総称を指します。
単なる「情報(データ)」だけでなく、保存・処理・伝送・活用するための媒体や仕組みも対象です。
【流れ】
- 個人情報が記載された帳票(情報+紙媒体)
- 顧客データを扱うサーバ(情報処理設備)
- SaaSのCRMサービス(情報処理の仕組み)
- ソフトウェア(情報を扱うロジック)
(2) どこまでを情報資産とみなすか
判断基準は 「機密性」「完全性」「可用性」 のいずれかが損なわれた場合に、組織の事業継続や信用に影響を及ぼすかどうかです。
| 区分 | 具体例 | 情報資産に含まれる理由 | 含まれない典型例 |
|---|---|---|---|
| 情報そのもの | 機密データ、契約書、個人情報 | 価値を保持しており漏洩・破損で重大な影響 | ― |
| ハードウェア | サーバ、PC、スマホ、ネットワーク機器 | 可用性が失われると業務停止 | ケーブル、マウス、モニターアーム |
| ソフトウェア | OS、業務アプリ、データベース、SaaS設定 | 完全性・機密性に直結 | ― |
| 共通インフラ | UPS、空調設備、ネットワーク回線 | 可用性を支えるため間接的に対象 | オフィス什器(机・椅子など) |
| サービス | SaaS、クラウドサービス | 情報処理の仕組みとして不可欠 | 清掃会社・警備会社(情報を扱わない委託先) |
(3)情報資産と“その他の資産”の違い
ISO/IEC 27001:2022では、資産を複数カテゴリに分類します。
その中で 「情報資産」=リスクアセスメントの起点 として最重要視されます。
| 資産分類 | 概要 | 具体例 | 位置づけ |
|---|---|---|---|
| 情報資産 | ISMSの中核。リスクアセスメントの起点 | 顧客リスト、設計図、契約書、電子メール | 最重要 |
| 情報処理設備 | 情報を処理・保管するシステム | サーバ、PC、OS、アプリケーション、DB | 情報資産を支える |
| その他の資産(サポート資産) | 情報処理設備を維持・保護 | データセンター、電源、空調、従業員 | 間接的に重要 |
| 人的資産 | スキル・知識を持つ人材 | 従業員、管理者 | 情報資産を運用する要素 |
| サービス資産 | SaaS、クラウド | CRM、ストレージサービス | 情報資産を処理する仕組み |
| 施設資産 | 物理的環境 | サーバ室、オフィス | 情報資産を保護する環境 |
2.ISMSで洗い出すべき情報資産の具体例一覧
ISMSでは、情報が生成・保管・利用・転送されるライフサイクル全体を考慮し、媒体や利用形態ごとに分類して洗い出すことが重要です。以下に、審査員が確認するレベルの具体例を整理します。
(1)紙情報
| 種類 | 具体例 | 管理ポイント |
|---|---|---|
| 契約関連 | 契約書原本、請求書、見積書 | 機密性の確保、取引先情報・価格情報を含む |
| 個人情報 | 顧客申込書、履歴書、アンケート、名刺 | 個人情報保護法対応 |
| 業務記録 | 勤怠記録、人事評価資料、経理伝票、議事録、会議資料 | 完全性の確保 |
| マスタ情報 | 棚卸し表、名簿 | 保管場所・持ち出し・廃棄ルールの遵守 |
(2)電子データ
| 種類 | 具体例 | 管理ポイント |
|---|---|---|
| 顧客・従業員情報 | 顧客データベース、従業員情報ファイル | 機密性・個人情報保護 |
| 知的財産 | 設計図、ソースコード、デザインデータ | 機密性・知的財産保護 |
| 業務データ | 会計データ、社内マニュアル、ノウハウ資料 | 完全性・業務継続性 |
| 通信記録 | 電子メール、チャットログ(Teams、Slack) | 法的証拠、情報転送記録 |
| バックアップ | 各種バックアップデータ | 可用性の確保 |
| クラウド保存 | OneDrive、Box、Google Drive等 | 保存場所×データ種類で整理 |
(3)ハードウェア
| 種類 | 具体例 | 管理ポイント |
|---|---|---|
| PC・端末 | ノートPC、デスクトップPC、スマートフォン、タブレット | 紛失対策、PC上で扱う情報資産と紐づけ |
| 記録媒体 | 外付HDD、USBメモリ | データ持ち出しリスク |
| サーバ・ネットワーク | サーバ、NAS、ルータ、スイッチ、ファイアウォール、アクセスポイント | 可用性の核、設置場所・管理者・識別子の管理 |
| その他機器 | マルチファンクションプリンタ(複合機) | 情報処理との関連を明確化 |
(4)ソフトウェア
| 種類 | 具体例 | 管理ポイント |
|---|---|---|
| 基盤ソフト | OS(Windows、macOS、Linux) | ライセンス管理、脆弱性管理 |
| 業務システム | ERP、CRM、SFA、販売管理、会計、人事給与 | 利用目的を明確化 |
| セキュリティ | アンチウイルス、EDR、ファイル暗号化ソフト | 機密性・完全性の確保 |
| 開発・分析 | Git、VS Code、BIツール(Tableau、Power BI) | 情報を扱う仕組みとして管理 |
(5)クラウドサービス・SaaS
| 種類 | 具体例 | 管理ポイント |
|---|---|---|
| 業務系 | Salesforce、HubSpot、 Microsoft365、Google Workspace | CRM・グループウェア |
| プロジェクト管理 | Backlog、Jira、Notion | 利用目的を明確化 |
| コミュニケーション | Slack、Teams | 情報転送の管理 |
| 会計・ストレージ | freee、マネーフォワード、OneDrive、Box、Dropbox | 責任範囲の区別が必須(※審査で必ず確認される) |
| IaaS/PaaS | AWS、Azure、GCP | アカウント情報・設定情報の管理 |
(6)業務委託・外部プロバイダ関連
| 種類 | 具体例 | 管理ポイント |
|---|---|---|
| BPOサービス | 経理、給与計算 | 委託契約書の確認 |
| システム関連 | 保守委託先、クラウド事業者(AWS、Azure) | 責任範囲の明確化 |
| 施設関連 | データセンター事業者 | 物理的セキュリティの対象 |
| その他 | 配送会社(伝票に個人情報がある場合) | 外部委託でも「組織の資産」として扱う必要あり |
このように、紙・電子・ハード・ソフト・クラウド・外部委託の6分類で整理すると、漏れなく情報資産を洗い出すことができます。
3.情報資産の洗い出し方とポイント(台帳作成の前準備)
(1) 洗い出しの目的(リスクアセスメントへの連動)
情報資産の洗い出しは単なる棚卸しではなく、リスクアセスメントの起点とすることが目的です。
【流れ】
- 情報資産を特定
- 資産に対する脅威を特定
- 脆弱性を把握
- リスクを評価
不十分な洗い出しは、リスクアセスメントを形骸化させ、管理策の有効性を失わせます。
| NG例 | OK例 |
|---|---|
| 資産名「営業資料一式」 → 脅威「紛失」 → リスク「評価不能」 | 資産名「顧客契約データベース(CRM内)」 → 脅威「不正アクセス」 → リスク「重大な機密性違反」 |
(2)抜け漏れを防ぐ手順
| 手順 | 内容 | ポイント |
|---|---|---|
| 業務プロセス起点 | 業務フロー図を基に「入力・処理・出力・保管・転送」で扱う情報とシステムを特定 | 業務単位で情報資産を洗い出す |
| 物理配置起点 | オフィス、サーバ室、データセンターを巡回し、PC・プリンタ・サーバ・保管庫を確認 | 現物確認で漏れを防ぐ |
| ライフサイクル分解 | 取得・保管・利用・共有・廃棄の各フェーズで資産を棚卸し | 情報の流れを基準に整理 |
| 媒体分類 | 紙 / 電子データ / PC / ソフトウェア / SaaS / 委託先 | 重複を減らし網羅性を高める |
| 部門ヒアリング | 営業部(顧客管理)、経理(会計データ)、人事(従業員情報)など | 部門ごとに資産を特定 |
(3)現場ヒアリング・棚卸しのコツ
- 所有者の特定:業務責任者を情報資産のオーナーとする(IT部門が必ずしも所有者ではない)。
- 質問の工夫:「何を使っていますか?」ではなく「日々の業務で情報を扱うタイミングは?」と聞く。
- 残存コピーの確認:PCローカルや個人のクラウドに残るデータをチェック。
- 個人契約SaaSの確認:Chatwork、Notion、Dropboxなど、個人が契約しているサービスは漏れやすい。
- 重複管理の許容:コピーと原本が異なる部門にある場合、それぞれ台帳に記載。
(4)Saas・外部委託での注意点
| 注意点 | 内容 | 具体例 |
|---|---|---|
| アカウント情報の管理 | SaaSのID・パスワード・APIキーも情報資産として台帳に記載 | Salesforceの管理者アカウント |
| 責任境界の明確化 | 自社とサービス提供者の責任範囲を区別 | OneDrive:データ保護はMicrosoft、アクセス権限設定は自社 |
| バックアップ責任 | SaaSによっては削除データが復元不可 → 誰が責任を持つか明記 | Google Workspaceの削除データ復元可否 |
| 委託先リスク | 委託先で扱う情報も「自社の資産」として管理 | 委託先に渡した個人情報、データセンターで保管される情報 |
このように、リスクアセスメントを起点とした洗い出し → 手順の体系化 → ヒアリングの工夫 → SaaS・外部委託の責任境界確認という流れで進めることが、ISMSにおける情報資産管理の正しいアプローチとなります。
4.情報資産とリスクアセスメントの関係
(1)情報資産 → 脅威 → 脆弱性 → リスク の流れ
ISMSにおけるリスクアセスメントは、情報資産を起点に「脅威 → 脆弱性 → リスク」を評価するプロセスで構成されます。
【流れ】
- 情報資産を特定(例:顧客データベース)
- 脅威を特定(例:不正アクセス、盗難、誤操作、火災)
- 脆弱性を特定(例:パスワード未設定、パッチ未適用、持ち出しルール不備)
- リスクを評価(例:顧客情報漏洩、業務停止)
→リスク=資産の価値×脅威の発生可能性×脆弱性による影響度
実務上は「資産 → 典型脅威 → 典型脆弱性」のセットをテンプレ化しておくと、審査対応や管理策の紐付けが容易になります。
(2)情報資産ごとの典型的なリスク例
| 情報資産の種別 | 脅威の具体例 | 脆弱性の具体例 | リスク例 |
|---|---|---|---|
| 顧客DB(電子データ) | サイバー攻撃、内部不正、誤操作、ランサムウェア | パスワード管理不徹底、アクセス権限不備、バックアップ不足 | 機密情報漏洩、業務停止 |
| 設計書・契約書(紙情報) | 盗難、紛失、置き忘れ、誤廃棄 | 施錠管理不徹底、クリアデスク未実施、持ち出しルール不備 | 顧客情報漏洩、事業継続阻害 |
| サーバー(ハードウェア) | ハード故障、紛失、物理破損、マルウェア感染 | バックアップ不足、古いOS利用、MDM未導入 | サービス停止、端末内データ漏洩 |
| クラウドサービス(SaaS/IaaS) | 設定ミス、ID乗っ取り | 二要素認証未設定、共有リンク乱発、ログ監視不足 | 外部公開事故、データ消失 |
(3)重要度(機密性・完全性・可用性)評価の考え方
情報資産の「価値」を定量的に評価するために、CIA(Confidentiality、Integrity、Availability)を用います。
実務では「低・中・高」の3段階評価を行い、その組み合わせをリスクレベル決定の基礎とします。
| 指標 | 定義 | 判断例(高評価となるケース) |
|---|---|---|
| 機密性(C) | 認可されていない者に情報が利用・開示されない特性 | 個人情報を含む名簿、機密性の高い知的財産 |
| 完全性(I) | 情報が正確で完全である特性 | 会計データ、製造指示データ、数字集計データ |
| 可用性(A) | 認可された利用者が必要な時に情報へアクセスできる特性 | 基幹システム、ウェブサイト、業務が即停止するシステム |
審査では「なぜその評価になったのか」という理由の説明が求められるため、業務影響ベースで判断するようにしましょう。
5.情報資産管理台帳とは?目的と役割
(1) 管理台帳の概要
情報資産管理台帳とは、特定されたすべての情報資産について、識別情報・所有者・重要度(CIA)・保管場所・管理状況などを網羅的に記載・管理する文書です。
ISMSの中核をなす文書の一つであり、リスクアセスメントシートや適用宣言書など他の管理文書の基盤となります。また、これは単なるリストではなく、「リスクアセスメントのインプット」かつ「運用・審査の中心資料」として機能します。
企業ごとに形式は異なりますが、必須要素は「資産情報 × 管理に必要な属性(責任・場所・重要度)」のセットです。
(2)なぜ必要なのか(審査視点と運用視点)
| 視点 | 目的・役割 | 具体的ポイント |
|---|---|---|
| 審査視点 | ISO/IEC 27001 A.8.1「資産の目録」を満たす必須証跡 | ・情報資産の特定とリスクアセスメントの整合性 ・管理策(Annex A)との紐付け ・台帳更新が運用に組み込まれているか(変更管理) ・クラウド資産の管理状況(2022版で特に重視) |
| 運用視点 | 実務における管理・対応の基盤 | ・責任の明確化(所有者特定) ・重要度(CIA)に基づく管理策適用判断 ・端末紛失時の迅速対応 ・SaaSアカウントの棚卸し・退職者処理 ・バックアップ範囲の可視化 ・「誰が・どの資産を・どのレベルで守るか」が即把握可能 |
情報資産管理台帳は、審査対応の必須証跡であると同時に、日常運用の中心資料として機能し、ISMSの有効性を支える基盤となります。
6.情報資産管理台帳に必要な項目とフォーマット例
(1) 記載すべき項目(所有者/保管場所/重要度など)
情報資産管理台帳は、単なるリストではなく リスクアセスメントのインプット かつ 審査・運用の中心資料です。
以下の項目が必須であり、これらが欠けると審査で高確率で指摘されます。
| 項目分類 | 必須記載項目 | 記載の目的・実務的工夫 |
|---|---|---|
| 識別情報 | 資産ID(固有番号) | 変更管理や適用宣言書との連携を容易にする |
| 資産名(具体的に) | 「顧客DB(CRM内)」「営業部PC-01」など曖昧さを避ける | |
| 資産分類(紙/電子データ/HW/SW/クラウド等) | 管理策の分類(物理的・技術的)の判断基準 | |
| 責任情報 | 所有者(部門または担当者名) | リスク受容・重要度設定・廃棄の権限を持つ人物を明確化 |
| 評価情報 | 機密性(C)/完全性(I)/可用性(A) | 「高・中・低」で評価し、リスクレベル決定の基盤とする |
| 保管場所(物理的/論理的) | 「サーバ室Aラック」「SaaSのURL」など対策適用場所を明確化 | |
| 管理情報 | 管理者(IT部門など) | 技術的管理(アクセス権設定、パッチ適用)を行う担当者 |
| 適用管理策(Annex A) | 資産ごとにどの管理策を適用するかを紐付ける | |
| 最新レビュー日 | 台帳が「生きている」証拠。審査で必ず確認される | |
| 推奨情報 | 脅威・脆弱性 | リスクアセスメントとの対応を強化 |
| 備考 | 廃棄時期、利用部門、クラウド契約情報などを記載 | |
| クラウド特有 | 管理者アカウント、二要素認証有無、契約プラン、外部共有ルール | 運用事故防止と審査評価向上につながる |
(2)フォーマット例
Excelやスプレッドシートでの管理が一般的です。以下は実務でよく採用される構成例です。
| 資産ID | 資産名 | 資産分類 | 所有者 | 利用部署 | 保管場所 | CIA評価 | 脅威 | 脆弱性 | 適用管理策 | 最新レビュー日 | 備考 |
|---|---|---|---|---|---|---|---|---|---|---|---|
| I-001 | 顧客契約DB | データ | 営業部長 | 営業部 | AWS S3バケット | C :高 I :高 A:中 | 不正アクセス | 権限設定不備 | A.5.15、A.8.10 | 2025/11/01 | 契約プラン:Enterprise |
| S-005 | 会計ソフトA | ソフトウェア | 経理部長 | 経理部 | 経理部PC群 | C:中 I:高 A:高 | マルウェア感染 | パッチ未適用 | A.8.8、 A.8.27 | 2025/11/01 | 廃棄予定:2027年 |
(3)帳の更新・レビューのルール化
情報資産管理台帳は「生きている文書」であり、更新ルールが不明確だと運用が破綻します。
【変更管理】
- 新規導入(SaaS追加、端末購入)
- 廃止(利用停止、端末廃棄)
- 設定変更(バックアップ範囲、アクセス権変更)
→ISMS事務局へ通知するルールを必ず作成
【定期レビュー】
- 年1回または半期ごと
- 事業部ごとの棚卸し会議でCIA評価の妥当性を確認
【部門連携】
- クラウド・端末・紙の管理者が異なるため、システム部門・総務部門との連携を明文化することで漏れを防止
このように、必須項目を整理した台帳と更新ルールを組み合わせることで、審査対応と運用定着の両面で有効な情報資産管理が可能になります。
7.情報資産の管理運用方法
(1) 管理レベルの設定(資産ごとに管理の強度を変える)
全資産を同じ厳しさで管理すると非効率であり、台帳も破綻します。そこで、CIA評価(機密性・完全性・可用性)に基づき、管理レベルを階層化します。審査で見られるポイントは「重要度に応じて管理策が変わっているか」「リスクアセスと矛盾していないか」です。
| 重要度/管理レベル | 対象資産例 | 必要な対策例(管理策) |
|---|---|---|
| 高(レベル1:高度管理) | 顧客個人情報、基幹システム、経営情報 | 隔離ネットワーク、二要素認証必須、アクセス権最小化、日次/多層バックアップ、物理的施錠 |
| 中(レベル2:通常管理) | 部署共有データ、業務アプリ | 権限管理の最適化、定期パスワード変更、アクセスログ取得、週次バックアップ、定期棚卸し |
| 低(レベル3:簡易管理) | 公開資料、マニュアル類、普及端末 | ウイルス対策ソフト導入、基本的利用ルール遵守、一般的なパスワード管理 |
(2)変更管理・追加削除のルール
情報資産はライフサイクル全体で管理します。ISMS運用の失敗の多くはここで発生するため、ルール化が必須です。
【追加(新規導入)】
- 新規PC/サーバ/SaaSアカウント発行、業務委託開始
- 利用開始前に必ず登録 → CIA評価 → アクセス権限設定 → 管理台帳へ反映
【変更】
- 保管場所変更、所有者変更、権限変更、バックアップ設定変更
- 変更申請書に基づき台帳修正、履歴を残すことで審査評価が高まる
【削除(廃止)】
- 退職者アカウント停止、端末廃棄、サービス契約停止
- 証跡(廃棄証明書、退職者処理記録)を必ず保管
- 特にクラウドは「退職者一覧とSaaSユーザ一覧の照合」を半期ごとに実施
(3) 廃棄手順(紙・電子・ハードウェアの3種類)
廃棄は機密性維持の最終防衛線であり、審査で必ず確認されます。
| 種別 | 廃棄方法 | 証跡・管理ポイント |
|---|---|---|
| 紙情報 | シュレッダー処理、溶解処理 | 廃棄依頼書保存、責任者明確化 |
| 電子データ | 復元不可能な論理削除(暗号化削除、複数回上書き) | 保管期限満了時の削除記録 |
| ハードウェア | HDD/SSDの物理破壊(破壊証明書)、リース返却時の初期化ログ | 証跡を台帳に紐付け、廃棄担当部門を明確化 |
(4)クラウド資産の管理上の注意点
クラウド事故は審査で最も警戒される領域であり、特別な運用ルールが必要です。
- アカウントアクセス権限の定期レビュー(四半期ごと)
- 管理者アカウントの明確化・共有禁止
- 二要素認証の徹底
- 外部共有リンクの管理(放置防止)
- 契約プラン変更時の台帳更新
- 利用終了時のデータ引き上げ手順を明文化
- AWS/Azure/GCPの設定ファイル(IaC)も情報資産としてバージョン管理し、変更履歴を追えるようにする
特に「外部共有リンクの放置」は審査で頻出の指摘事項であり、四半期ごとの権限棚卸しをルール化すると運用が安定します。
8.情報資産管理台帳の失敗事例とその対策
ISMSの運用で頻発する失敗事例と、その実務的な対策を整理します。審査現場でも指摘されやすい典型例をまとめました。
(1) 台帳が複雑化して運用不能になるケース
| 失敗内容 | 対策 |
|---|---|
| 項目を増やしすぎて誰も更新できない | 台帳は「資産の基本情報」に絞る |
| システム管理者しか理解できない状態 | 粒度を「情報群」や「媒体」に集約(例:ファイル単位ではなくフォルダ単位) |
| リスクアセスメント項目まで無理に統合 | リスクアセス表と台帳を無理に一体化しない |
| 数万行に膨れ上がり更新停止 | 「更新できる設計か」を重視し、審査員視点を意識 |
(2) SaaSの管理漏れ(最も多い不適合)
| 失敗内容 | 対策 |
|---|---|
| 部門が勝手にSaaSを契約(シャドーIT) | SaaS導入申請フローを設計し、必ず台帳に登録 |
| 無料トライアルがそのまま本導入 | IT統制部門によるセキュリティレビューを必須化 |
| 退職者アカウントが残存 | 四半期ごとのアカウント棚卸しを実施 |
| 台帳にSaaS情報が未記載 | 管理台帳に「SaaS専用項目」を追加(管理者、契約プラン、認証方式、外部共有設定など) |
(3) 「情報資産=機器一覧」になってしまう問題
| 失敗内容 | 対策 |
|---|---|
| ノートPC/スマホ/サーバなど機器だけを登録 | 「紙情報」「電子データ」「業務委託」を分類に必ず追加 |
| データやクラウド資産が未記載 | 現場からデータ一覧を回収し、クラウド利用の棚卸し会議を年1回実施 |
| CIA評価がハードウェア基準になっている | 「保護すべき情報(データ)」をメイン資産とし、機器はサポート資産として紐づける構造に変更 |
(4) 対策まとめ(フォーマット整理・責任者明確化など)
- 台帳を「使える量」に減らし、余計な項目を排除する
- 部門ごとに資産管理責任者(オーナー)を明確化する
- 変更管理フローを必ず文書化する
- SaaS・クラウドは専用の管理観点を設定する
- 年1回の棚卸しを必ず行い、証跡を残す
- ISMS事務局は形式的管理を担い、実質的責任は現場の所有者に委ねる
これらを徹底することで、審査での指摘が大幅に減り、運用事故も防止できます。
9.まとめ
本記事では「ISMS(ISO27001)における情報資産」をテーマに解説しました。
要点をまとめておきましょう。
情報資産の定義と範囲について、以下を解説しました。
- 情報資産とは「組織にとって価値を持ち、保護すべき情報およびそれを扱う媒体・仕組み」の総称である
- 境界判断は「機密性・完全性・可用性(CIA)」の観点で行う
- 情報資産とその他の資産の違いを明確にし、付属書Aの分類に沿って整理する
洗い出すべき情報資産の具体例について、以下を示しました。
- 紙情報(契約書、申込書、議事録など)
- 電子データ(顧客DB、設計図、バックアップ、メールログなど)
- ハードウェア(PC、サーバ、ネットワーク機器、記録媒体など)
- ソフトウェア(業務システム、セキュリティソフト、開発ツールなど)
- クラウドサービス・SaaS(CRM、グループウェア、ストレージなど)
- 業務委託・外部プロバイダ関連(BPO、データセンター、クラウド事業者など)
情報資産の洗い出し方とポイントについて、以下を解説しました。
- 洗い出しはリスクアセスメントの起点であり、形骸化を防ぐために重要
- 業務プロセス起点と物理配置起点の二段階で網羅性を高める
- 現場ヒアリングでは「業務で情報を扱うタイミング」を聞くことが有効
- SaaSや外部委託は責任境界を明確にすることが必須
情報資産とリスクアセスメントの関係について、以下を整理しました。
- 情報資産 → 脅威 → 脆弱性 → リスクの流れで評価する
- 資産ごとの典型的なリスク(紙・電子・ハード・クラウド)を把握する
- CIA評価を「低・中・高」で行い、業務影響ベースで判断する
情報資産管理台帳の役割とフォーマットについて、以下を解説しました。
- 台帳は資産の識別情報・所有者・保管場所・重要度・管理策を記載する中核文書
- 審査視点では「資産の目録(A.8.1)」の証跡として必須
- 運用視点では責任の明確化、迅速な対応、バックアップ範囲の可視化に役立つ
- フォーマット例と更新・レビューのルール化を示し、定期棚卸しや変更管理を必須とする
管理運用方法と失敗事例の対策について、以下を解説しました。
- 管理レベルを「高度管理・通常管理・簡易管理」の3段階に分ける
- 追加・変更・削除のルールを明文化し、証跡を残す
- 廃棄は紙・電子・ハードごとに証跡を台帳へ紐付ける
- クラウド資産は四半期ごとの権限棚卸しや外部共有リンク管理が必須
- 失敗事例(台帳の複雑化、SaaS管理漏れ、機器一覧化)を防ぐため、粒度調整・責任者明確化・クラウド専用項目の追加を行う
本記事を参考に、情報資産の定義から洗い出し、リスク評価、台帳作成、運用、失敗防止までの流れを理解し、ISMSの有効性を高める取り組みを進めていただければ幸いです。
における-運用とは?-500x250.png)
ISO・Pマーク(プライバシーマーク)の認証・更新も安心
認証率100% ✕ 運用の手間を180時間カット!
信頼の「認証パートナー」が無料相談を受付中!
一目でわかる
認証パートナーのサービス紹介資料
8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。
資料の内容
- ・当社の『サポート費用・内容』
- ・取得までの『スケジュール』
- ・コンサル会社を選ぶ際の『ポイント』
- ・認証パートナーと『他社との違い』
- ・お客様のお声
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ
- © 2022 Three A Consulting Co., Ltd.