ISMS（ISO27001）で抑えるべき情報資産洗い出しのたった1つのポイントは、業務フローに沿って洗い出しをすることです。
ISMS（ISO27001）では業務フローに沿って情報資産の洗い出しをしなければ、抜けのないリスクアセスメントができません。

１．情報資産とは？

情報資産とは、簡単に言うと「会社が持っている情報」です。
具体例としては、従業者の履歴書などの個人情報をはじめ、会社の決算情報やお客様との契約書などがあげられます。

またその情報そのものだけでなく、情報が保管されているPCなどの媒体やシステムなども情報資産と言えます。その他、自社の情報を保管している外部のクラウドも、自社の情報が保管されているという意味では自社の情報資産となります。

そのため、書類、電子データやハードウェアなど情報資産の形態は様々です。
万が一、その情報を漏えい、紛失してしまった場合に会社に不利益を被るものは情報資産として適切に管理をするのがよいでしょう。

２．情報資産に必要な項目

情報資産に必要な項目は、誰がその情報を利用することができるのかという資産利用の許容範囲や、社外秘情報なのか、極秘情報なのかなどの情報管理区分などがあげられます。

情報の管理区分については、どれくらい慎重に取り扱わなければならないかという観点から分類をするとよいでしょう。

３．情報資産洗い出しのポイント

情報資産の洗い出しのポイントは、まず業務フローを確認しながら洗い出しをすることです。
お仕事の受注から納品までの一連の流れを確認し、その流れの中で発生する書類やデータ、使用するシステムなどを確認していくことで情報資産は洗い出しやすくなるでしょう。

業務フローに沿って洗い出しをした後、他に自社の情報資産がないか確認する方法としては、紛失したり、漏えいしたり、壊れたりしたときに困るものは何だろう？という観点で洗い出しをしてみることです。

「情報資産」で考えるとなかなか洗い出しが難しいですが、漏えいしたら会社にとって不利益を生むかもしれないといった観点で考えてみると思い浮かびやすいのではないでしょうか？
併せて、書類、データ、ソフトウエア、ハードウエア、サービスなどの分類で分けて洗い出してみるとより自社の情報資産を洗い出すことができます。

４．情報資産管理台帳の運用方法

情報資産管理台帳とは、簡単に言うと「自社の情報資産の一覧表」です。
一覧にすることにより、今自社がどのような情報資産を抱えているのか現状を把握し管理することができます。

そのため、情報資産を洗い出したら、情報資産管理台帳を作成しましょう。
（ISMSの審査でも情報資産管理台帳の提出が求められます）
情報資産管理台帳に含めるべき項目としては

• 情報資産名
• 情報の管理区分（社外秘なのか、極秘なのか、公開情報なのかなど）
• 許容範囲（誰まで閲覧・利用可能なのか）
• リスク所有者（誰が責任を持つのか）
• 想定されるリスク（その情報資産にどのようなリスクが起こりそうか）
• 管理策（想定されるリスクへの対策）
• CIAの数値（機密性、可用性、完全性の値）、判断基準

などの項目を含めるとよいでしょう。

作成した情報資産管理台帳は基本的には、少なくとも年に1度見直しすることが求められています。
その他、事務所が移転した、リモートワークを開始したなど会社に変化があった際にも、管理策（想定されるリスクへの対策）が変更になることがあるため情報資産管理台帳を見直しするようにしましょう。
基本的に管理責任者が見直しするポイントとしては、新たな情報資産が増えていないか、媒体が紙からデータなど変更になっていないか、管理策（想定されるリスクへの対策）が変わっていないか、CIAの数値が妥当であるかなど見直ししてみましょう。

まとめ

ISMS（ISO27001）のリスク評価の実施方法については、まず資産の洗い出し、その次に機密ISMS（ISO7001）で抑えるべき情報資産の洗い出しのポイントは業務フローに沿って洗い出しをすることです。
情報資産を洗い出し、適切に管理をしていきましょう。