2021年03月22日

シリーズFAQ【情報資産洗い出し】

ishihama
石濱 雄基 記事一覧
Posted in ISMS/ISO27001, 情報セキュリティ, 管理策,
このエントリーをはてなブックマークに追加 LINEで送る

このシリーズでは、ISMSに関する様々な取り組みを行う際に出てくるであろう「よくある疑問」について、回答していきたいと思います。
初回は、ISMS構築序盤の重要な取り組みのひとつでもある「情報資産の洗い出し」です。

情報資産洗い出しのFAQ

そもそも情報資産って何ですか?

一言でまとめると「企業にとって価値のある情報」のことです。
詳しくは「そもそも情報資産ってなんだろう?」という記事で紹介していますのでぜひご覧ください。

洗い出す必要のある情報資産って何ですか?

簡単にまとめると以下に当てはまるものです。

  • 企業活動によって収集・生成した情報そのもの
  • それらの情報を記録している媒体
  • それら情報を取り扱うための機器・設備など
  • 上記の中で、企業にとって価値のあるもの

「企業にとって価値のあるもの」と言われると判断が難しいかもしれません。その際には、「機密性(漏れたら困る)」「完全性(誤っていたら困る)」「可用性(アクセスできないと困る)」という情報セキュリティの3要素に当てはまるものを洗い出してみましょう。

情報資産を洗い出す意味は何ですか?

情報資産の管理・保護を効果的に行うことが目的です。
組織が持つ情報資産を適切に把握しておくことで、何をどのように守ればいいのか考えることができます。
また、情報セキュリティの目的以外に資産の過不足確認といった資産管理にも役立ちます。

どうやって洗い出せばいいですか?

実際の業務フローに沿って各場面でどのような情報が取り扱われているか確認していただくと最小限の抜け漏れで洗い出しを実施していただけます。
上記はあくまでも一例ですので、実際に組織内の情報を棚卸してみるといった方法で洗い出すことももちろん問題ありません。

洗い出しって誰が行えばいいですか?

前述したとおり、業務から洗い出すことが多いと思いますので、各部署の業務や取り扱う情報を把握している担当者の方にお願いいただくのが良いと思います。
もし小規模な組織でISMSの担当者が全て把握できているといった場合であれば、作成いただいても問題ありません。

洗い出した情報資産はどうすればいいですか?

「情報資産管理台帳」や「資産目録」といった台帳にまとめます。
台帳として一覧化することで整理し、より把握しやすくします。

まとめるのは情報資産名だけでいいですか?

情報資産の管理責任者や閲覧可能者、保管場所や保管期限なども併記することが望まれます。
これらの情報を併記することで、責任所在の明確化や、アクセス権限の設定、保管場所の確認など、より効果的な管理・保護を行うことができます。

情報資産管理台帳はひとつのシートにまとめますか?

情報資産管理台帳のまとめ方に決まりはありませんが、多くの場合、部署ごとにまとめています。
一つは情報資産や業務の管理単位が部署ごとなケースが多いというのがありますが、そのほかに基本的に審査時に部署ごとに対応することが多いため、審査対応がしやすい事も理由にあります。
上記のまとめ方以外に、以下のようなまとめ方も多くみられます。

  1. ひとつのシートにまとめる
    • 多くの情報を全部署で共有しているケース・小規模な組織で全体を管理しているようなケースなど
  2. 1部署1ファイルでまとめる
    • 大規模な組織で1部署内にもさらに○○課と分かれているケースや業務が細かく分かれているケースなど

洗い出しは100%完了している必要がありますか?

もちろん100%洗い出すことが出来ればいいですが、現状洗いだせる範囲・思いつく範囲でも問題ありません。
ISMSの取り組みは継続的に改善を続けることが大切ですので、毎年の取り組みの中でより拡充させていくということを目標においていただければと思います。

また、情報資産は常に生成・更新・破棄され得るものですので、100%のものが出来上がったとしても一月後にはすでに完璧ではない可能性もあります。
100%を目指すことよりも最新の状態であることに比重を置いてみましょう。

一度作成したら終わりですか?

前述したとおり、ISMSは継続的改善を続けることが大切であり、また、情報資産は常に更新され得るものです。
はじめに作成して終わりではなく、少なくとも年に1度は見直しを実施するようにしましょう。

加えて、新たな部門ができた場合や情報資産が生まれたタイミングで適宜作成・見直しいただくことでより良いものになります。

まとめ

今回は、「情報資産の洗い出し」のよくある質問について、回答してきました。
少しでも取り組みの参考にしていただけると幸いです。

弊社コンサルティングでは、情報資産の洗い出しをはじめISMS取得・運用に関する支援をさせていただいています。また、弊社サービスのセキュリオにも「情報資産管理台帳機能」という情報資産を管理する機能を提供しておりますので、ご興味があればお気軽にお問い合わせください。

このエントリーをはてなブックマークに追加 LINEで送る

2021年3月22日

シリーズFAQ【情報資産洗い出し】

Posted in ISMS/ISO27001, 情報セキュリティ, 管理策

このシリーズでは、ISMSに関する様々な取り組みを行う際に出てくるであろう「よくある疑問」について、回答していきたいと思います。
初回は、ISMS構築序盤の重要な取り組みのひとつでもある「情報資産の洗い出し」です。

情報資産洗い出しのFAQ

そもそも情報資産って何ですか?

一言でまとめると「企業にとって価値のある情報」のことです。
詳しくは「そもそも情報資産ってなんだろう?」という記事で紹介していますのでぜひご覧ください。

洗い出す必要のある情報資産って何ですか?

簡単にまとめると以下に当てはまるものです。

  • 企業活動によって収集・生成した情報そのもの
  • それらの情報を記録している媒体
  • それら情報を取り扱うための機器・設備など
  • 上記の中で、企業にとって価値のあるもの

「企業にとって価値のあるもの」と言われると判断が難しいかもしれません。その際には、「機密性(漏れたら困る)」「完全性(誤っていたら困る)」「可用性(アクセスできないと困る)」という情報セキュリティの3要素に当てはまるものを洗い出してみましょう。

情報資産を洗い出す意味は何ですか?

情報資産の管理・保護を効果的に行うことが目的です。
組織が持つ情報資産を適切に把握しておくことで、何をどのように守ればいいのか考えることができます。
また、情報セキュリティの目的以外に資産の過不足確認といった資産管理にも役立ちます。

どうやって洗い出せばいいですか?

実際の業務フローに沿って各場面でどのような情報が取り扱われているか確認していただくと最小限の抜け漏れで洗い出しを実施していただけます。
上記はあくまでも一例ですので、実際に組織内の情報を棚卸してみるといった方法で洗い出すことももちろん問題ありません。

洗い出しって誰が行えばいいですか?

前述したとおり、業務から洗い出すことが多いと思いますので、各部署の業務や取り扱う情報を把握している担当者の方にお願いいただくのが良いと思います。
もし小規模な組織でISMSの担当者が全て把握できているといった場合であれば、作成いただいても問題ありません。

洗い出した情報資産はどうすればいいですか?

「情報資産管理台帳」や「資産目録」といった台帳にまとめます。
台帳として一覧化することで整理し、より把握しやすくします。

まとめるのは情報資産名だけでいいですか?

情報資産の管理責任者や閲覧可能者、保管場所や保管期限なども併記することが望まれます。
これらの情報を併記することで、責任所在の明確化や、アクセス権限の設定、保管場所の確認など、より効果的な管理・保護を行うことができます。

情報資産管理台帳はひとつのシートにまとめますか?

情報資産管理台帳のまとめ方に決まりはありませんが、多くの場合、部署ごとにまとめています。
一つは情報資産や業務の管理単位が部署ごとなケースが多いというのがありますが、そのほかに基本的に審査時に部署ごとに対応することが多いため、審査対応がしやすい事も理由にあります。
上記のまとめ方以外に、以下のようなまとめ方も多くみられます。

  1. ひとつのシートにまとめる
    • 多くの情報を全部署で共有しているケース・小規模な組織で全体を管理しているようなケースなど
  2. 1部署1ファイルでまとめる
    • 大規模な組織で1部署内にもさらに○○課と分かれているケースや業務が細かく分かれているケースなど

洗い出しは100%完了している必要がありますか?

もちろん100%洗い出すことが出来ればいいですが、現状洗いだせる範囲・思いつく範囲でも問題ありません。
ISMSの取り組みは継続的に改善を続けることが大切ですので、毎年の取り組みの中でより拡充させていくということを目標においていただければと思います。

また、情報資産は常に生成・更新・破棄され得るものですので、100%のものが出来上がったとしても一月後にはすでに完璧ではない可能性もあります。
100%を目指すことよりも最新の状態であることに比重を置いてみましょう。

一度作成したら終わりですか?

前述したとおり、ISMSは継続的改善を続けることが大切であり、また、情報資産は常に更新され得るものです。
はじめに作成して終わりではなく、少なくとも年に1度は見直しを実施するようにしましょう。

加えて、新たな部門ができた場合や情報資産が生まれたタイミングで適宜作成・見直しいただくことでより良いものになります。

まとめ

今回は、「情報資産の洗い出し」のよくある質問について、回答してきました。
少しでも取り組みの参考にしていただけると幸いです。

弊社コンサルティングでは、情報資産の洗い出しをはじめISMS取得・運用に関する支援をさせていただいています。また、弊社サービスのセキュリオにも「情報資産管理台帳機能」という情報資産を管理する機能を提供しておりますので、ご興味があればお気軽にお問い合わせください。

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする