投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2023.2.16
(更新:2024.4.12)
情報セキュリティマネジメントシステムに関する規格、ISO/IEC27001:2013の附属書A「A.8.2」項では、情報の価値や重要性などに基づき、情報の分類と、その表示(=ラベル付け)を求めています。
業務で利用する情報に明確な分類があり、それがラベルで分かりやすく表示されると、どのような取り扱いや保護が必要なのか、利用者に簡潔かつ明確に示すことができます。
〇機密性に基づく情報の分類例
ISO/IEC27001:2013の6.1.2項に沿って情報セキュリティリスクアセスメントを実施している組織では、アセスメント結果を踏まえ、組織の機密性の価値基準に整合する分類を定めるのが一般的と言えます。
(機密性:権限のある特定の人だけが情報にアクセスできること。)
(機密性に基づく分類例)
・極秘:開示対象は経営者などに限られ、特に取り扱いに注意を要する情報
・秘密:一部の組織や秘密保持契約提携先にのみ開示可能な情報
・社外秘:社内のメンバーにのみ開示可能な情報
・公開:一般に公開している情報
またISO27001の認証を受けなくとも、業務に求められる情報や情報資産の機密性を拠り所にして、分類を定義するのがよいと思われます。
〇完全性・可用性に基づく情報の分類例
また、機密性に加え、完全性・可用性に基づいて次のような情報の分類を定める場合もあるでしょう。
(完全性:その情報が正確で、改ざん等がされていないこと。)
(可用性:情報を利用する権限のある人が必要な時に確実に利用できること。)
・非常用:トラブル対応マニュアル、災害対応マニュアルなど、非常事態に備えて平時から準備しておく情報
※機密性・完全性・可用性については以下のブログもご参照ください。
〇簡略でも可、情報の分類の明文化がおすすめです
ISO27001の認証を受けている組織では、情報の分類やそのラベル付けの方法について文書化されていると思いますが、
小さな組織や職場などでは「情報の分類は、慣習的に決まっていて明文化はされていない」という場合もあるかもしれません。
明文化されていない場合、時間の経過やメンバーの異動等によって「定義がぶれて」しまい、情報漏洩や情報の紛失などのインシデントが起こるリスクも考えられます。
簡略な文章でもよいので、業務で利用する情報の分類を明文化し、メンバーと共有するようにしましょう。
〇まとめ
業務で使う情報は、その分類を定義し、明文化し、文書ごとに表示(ラベル付け)し、年1回など定期的に、業務に照らして分類が適切か見直す、といった運用ができると理想的です。
(Primary-f/向実庵 代表)
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
Comments