セキュリティ入門Web講座

情報資産管理 その1 ~ セキュリティ関連規程の記載事項について ~

2回前から「情報セキュリティ規程には何を書くか?」の各項目のお話をしています。
今回は第3回の「情報資産管理」その1です。

情報セキュリティ関連規程

広告枠・・・広告やリンク先の保証はしません

目次

情報セキュリティ関連規程」には、次の項目があります。

  1. 組織的対策
  2. 人的対策
  3. 情報資産管理
  4. アクセス制御及び認証
  5. 物理的対策
  6. IT機器利用
  7. IT基盤運用管理
  8. システム開発及び保守
  9. 委託管理
  10. 情報セキュリティインシデント対応及び事業継続管理

情報資産管理

情報資産管理の内容

組織における情報資産の定義とその管理責任、保存、取り扱いなどを決めています。
具体的には次のとおりです。


情報資産の管理

情報資産を管理する上で必要となる次のような規定があります。

  1. 情報資産の特定と機密性の評価
  2. 情報資産の分類の表示
  3. 情報資産の管理責任者
  4. 情報資産の利用者

情報資産の特定と機密性の評価

この項目も次の二つに分けられます。

  1. 情報資産の定義
  2. 機密性の評価
情報資産の定義
情報資産が決まらないと管理もできません。
このため、情報資産を定義します。
情報資産の定義というと、違和感があるかもしれません。
だって、定義は決まっているはずだから・・・

情報資産の定義については、「情報資産とは?」でお話をしていますが、厳密に何が情報資産であるという定義の仕方ではありません。
このため、それぞれの組織何が情報資産となるのか?を定義する必要があります。
このための規定を「情報セキュリティ規程」で設けます。

機密性の評価
情報資産が決まると、その重要性も決まってきます。
重要性が一律であれば、機密性の評価は不要です。
しかし、一律でない場合は、評価する必要があります。
評価というより分類と言った方がわかりやすいかもしれません。
この分類によって、管理の仕方が変わってきます。

情報資産の分類の表示

分類に参加した人はわかりますが、参加していない人には、どの情報がどの分類かわかりません
また、分類に参加した人でも、時間が経過すると忘れてしまうこともあります。
このため、分類した情報がどの分類かわかるように表示します。
例えば、書類に「社外秘」のような記載をする方法です。

しかし、表示できない場合もあります。
そのような場合は、管理台帳を作成して管理します。

情報資産の管理責任者

組織内の情報資産を管理する人です。
組織の範囲によってこの管理責任者が変わります。
組織が会社全体であれば、取締役等がなりますし、部や課のレベルであれば、部長・課長が管理責任者になるでしょう。
工場であれば、工場長になるようなイメージです。
責任者ですから、実務上は、担当者を別に指名して、実務は担当者に任せるというような運用を行う場合もあります。

情報資産の利用者

情報資産を利用できる人を規定します。
責任者の管理下でないと管理が難しいことから、実務的には、責任者の部下となる場合が多いです。

次回は残りの「情報資産の社外持ち出し」「媒体の処分」「バックアップ」のお話をします。

タグ:, ,


参考記事(一部広告含む)


このページの記事についてちょっと質問!