資産の管理(A7)
教育資料04の資産の管理(A7)です。
←情報セキュリティのための組織(A6)|ISMS教育資料|人的資源のセキュリティ(A8)→
資産に対する責任[A7.1]
【目的】
組織の資産を適切に保護し、維持するため。
資産目録[A7.1.1]
【管理策】
すべての資産は、明確に識別しなければならない。また、重要な資産すべての目録を、作成し、維持しなければならない。
【解説】
情報セキュリティ(機密性・完全性・可用性の3つの要素)を確立するためには、
「何を保護するのかを明確にする!」ことが必須である。
なぜならば、保護する対象を適切に把握できていなければ、必要な管理策が漏れてしまったり、不十分になったりするからである。保護すべき対象を明確にするためには、「資産(情報資産)の目録(一覧表)」を作成する必要がある。
当社では「情報資産管理規定」で定めている。
- ・情報資産一覧表を作成、年に一度(2月)の見直しを行い、維持している。
資産の管理責任者[A7.1.2]
【管理策】
情報及び情報処理施設と関連する資産のすべてについて、組織の中に、その管理責任者を指定しなければならない。
【解説】
情報セキュリティの確立は手間がかかり、対象とする範囲も広いことから、「その情報資産を誰が管理するのか?といった管理責任を明確」にしておかなければ、管理策を構築し、それを実施していくことは難しい。管理部署・管理者などが明確でなく、その責任も不明確な場合には、資産の管理・重要性の決定・情報セキュリティ対策の実施が適切に行われず、情報の紛失が発生しても認識されないといった、いわゆるセキュリティホール(情報セキュリティ上の欠陥)が生じる可能性がある。
↓なので・・・
作成した資産目録に、管理責任者(*)が複数存在する場合には、主たる管理責任者を決定する。
(*)ここでいう管理責任者とは、情報資産(情報や情報処理施設などの財産権を所有している者でなく、資産の生産・開発・利用・情報セキュリティなどの管理に関する管理責任をもつ者である点に注意。)
当社では「情報資産管理規定」で定めている。
- ・情報資産一覧表で責任者を明確に定めている。また、個々の資産管理においても、責任者印を押印した保護ラベルを貼付することにより、明確にしている。
情報の分類[A7.2]
【目的】
情報の適切なレベルでの保護を確実にするため。
分類の指針[A7.2.1]
【管理策】
情報は、組織に対しての価値、法的要求事項、取扱いに慎重を要する度合い及び重要性の観点から、分類しなければならない。
【解説】
<情報の分類指針>
情報セキュリティでは、保護対象の事業活動における影響度(重要性)に応じた対策を講じる必要がある。
重要性を考慮しないで情報セキュリティ対策を講じると、過大もしくは脆弱(ぜいじゃく)な情報セキュリティ対策を行うことになり、情報セキュリティの費用対効果の視点から問題が生じる。そこで、重要性の評価を行いやすくするために、「情報を適切に分類できる指針、つまり<情報の分類基準を明確にする>ことが必要」になる。
「重要性については、機密性の視点だけを重視せず、可用性および完全性の視点を含めて分類基準を策定する」ことが大切である。
<分類手順の作成>
「情報資産の影響度を評価し分類するためには、分類手順を作成する必要」がある。
分類手順が作成されていないと評価者によって影響度の大小に著しい差が生じてしまい、
情報セキュリティ対策のための資産(設備投資・経費・人的資源など)を適切に配分できなくなる恐れがある。また、この結果、適正なレベルでの情報セキュリティ対策を講じることができずに、情報セキュリティ上の脆弱性が、そのままにされてしまう恐れもある点に注意することも大切である。
当社では「情報資産管理規定」で定めている。
- ・「ラべリング対応手順書」で分類および判断できない新規案件については、「脅威脆弱性評価基準表」からリスク値を算出、「資産価値評価基準表」から機密性・完全性・可用性を評価。それらを考慮した上で、事務局にて保護レベルを導き出している。
情報のラベル付け及び取扱い[A7.2.2]
【管理策】
情報に対するラベル付け及び取扱いに関する適切な一連の手順は、組織が採用した分類体系に従って策定し、実施しなければならない。
【解説】
ラベル付けとは:資産の分類指針に従って情報資産に重要性を示すランクを付けることである。
当社では「情報資産管理規定」「情報ラベル貼付手順書」で定めている。
- ・情報保護ラベル(シール)の具体的な貼付方法、運用手順を定めている。