ISMS審査合格100%保証

0120-068-268
お電話受付:平日9:30〜18:30

ISMS認証
お役立ちコラム

ISMS(ISO27001)の認証・更新に
とっても役立つ『今』の情報をお届けします。

2021年12月24日

ISMS(ISO27001)で抑えるべき情報資産洗い出したった1つのポイント

ISMS(ISO27001)で抑えるべき情報資産洗い出したった1つのポイント

ISMS(ISO27001)で抑えるべき情報資産洗い出しのたった1つのポイントは、業務フローに沿って洗い出しをすることです。
ISMS(ISO27001)では業務フローに沿って情報資産の洗い出しをしなければ、抜けのないリスクアセスメントができません。

1.情報資産とは?

情報資産とは、簡単に言うと「会社が持っている情報」です。
具体例としては、従業者の履歴書などの個人情報をはじめ、会社の決算情報やお客様との契約書などがあげられます。

またその情報そのものだけでなく、情報が保管されているPCなどの媒体やシステムなども情報資産と言えます。その他、自社の情報を保管している外部のクラウドも、自社の情報が保管されているという意味では自社の情報資産となります。

そのため、書類、電子データやハードウェアなど情報資産の形態は様々です。
万が一、その情報を漏えい、紛失してしまった場合に会社に不利益を被るものは情報資産として適切に管理をするのがよいでしょう。

2.情報資産に必要な項目

情報資産に必要な項目は、誰がその情報を利用することができるのかという資産利用の許容範囲や、社外秘情報なのか、極秘情報なのかなどの情報管理区分などがあげられます。

情報の管理区分については、どれくらい慎重に取り扱わなければならないかという観点から分類をするとよいでしょう。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

3.情報資産洗い出しのポイント

情報資産の洗い出しのポイントは、まず業務フローを確認しながら洗い出しをすることです。
お仕事の受注から納品までの一連の流れを確認し、その流れの中で発生する書類やデータ、使用するシステムなどを確認していくことで情報資産は洗い出しやすくなるでしょう。

業務フローに沿って洗い出しをした後、他に自社の情報資産がないか確認する方法としては、紛失したり、漏えいしたり、壊れたりしたときに困るものは何だろう?という観点で洗い出しをしてみることです。

「情報資産」で考えるとなかなか洗い出しが難しいですが、漏えいしたら会社にとって不利益を生むかもしれないといった観点で考えてみると思い浮かびやすいのではないでしょうか?
併せて、書類、データ、ソフトウエア、ハードウエア、サービスなどの分類で分けて洗い出してみるとより自社の情報資産を洗い出すことができます。

4.情報資産管理台帳の運用方法

情報資産管理台帳とは、簡単に言うと「自社の情報資産の一覧表」です。
一覧にすることにより、今自社がどのような情報資産を抱えているのか現状を把握し管理することができます。

そのため、情報資産を洗い出したら、情報資産管理台帳を作成しましょう。
(ISMSの審査でも情報資産管理台帳の提出が求められます)
情報資産管理台帳に含めるべき項目としては

  • 情報資産名
  • 情報の管理区分(社外秘なのか、極秘なのか、公開情報なのかなど)
  • 許容範囲(誰まで閲覧・利用可能なのか)
  • リスク所有者(誰が責任を持つのか)
  • 想定されるリスク(その情報資産にどのようなリスクが起こりそうか)
  • 管理策(想定されるリスクへの対策)
  • CIAの数値(機密性、可用性、完全性の値)、判断基準

などの項目を含めるとよいでしょう。

作成した情報資産管理台帳は基本的には、少なくとも年に1度見直しすることが求められています。
その他、事務所が移転した、リモートワークを開始したなど会社に変化があった際にも、管理策(想定されるリスクへの対策)が変更になることがあるため情報資産管理台帳を見直しするようにしましょう。
基本的に管理責任者が見直しするポイントとしては、新たな情報資産が増えていないか、媒体が紙からデータなど変更になっていないか、管理策(想定されるリスクへの対策)が変わっていないか、CIAの数値が妥当であるかなど見直ししてみましょう。

まとめ

ISMS(ISO27001)のリスク評価の実施方法については、まず資産の洗い出し、その次に機密ISMS(ISO7001)で抑えるべき情報資産の洗い出しのポイントは業務フローに沿って洗い出しをすることです。
情報資産を洗い出し、適切に管理をしていきましょう。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に
関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。