~保有する情報資産を明確化することが情報セキュリティ対策の第一歩~
投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2023.8.30
(更新:2024.8.8)
業務に利用するデータや情報は本来重要なものですが、いつも当たり前に使えていると、その重要性が十分認識できなくなってしまう場合もあるかもしれません。
小さな事業者様であってもできれば年に1回程度、職場で利用している重要な情報にはどんなものがあるか、棚卸しといいますか、洗い出しを行ってみるのがよいと思います。
ISMS(情報セキュリティマネジメントシステム)の構築では必須の作業に「情報資産の洗い出し」があります。
「自分たちの会社・職場で利用する情報にはどのようなものがあり、どのような媒体に記録され、どこに保管されているか」等を調べ、「情報資産台帳」「情報資産管理台帳」等と呼ばれる管理簿にリストアップして管理します。
〇皆様にとっての重要な情報とは?
万が一、漏えいしたり、改ざんされたり、利用できなくなると、業務運営に悪影響が生じたり、関係者に損害が発生する可能性がある情報は重要情報といえます。
(例)
・お客様や取引先の氏名、住所、メールアドレス、クレジットカードなどの情報
・取引先ごとの仕切値や限度額、取引実績等の営業情報
・製品の設計図、商品の製造マニュアル、サービスマニュアル等の営業秘密
・取引先から”取扱注意”として預かる情報
・従業員に関する情報(マイナンバー、住所、給与明細)
〇「私達はどんな情報資産を持っているか?」明確化することが情セキ対策の第一歩
ISMSの認証取得の有無にかかわらず、どの職場においても、
「そもそも私達はどんな情報資産を持っているか」
「私達にとっての重要情報は何か?」
これらを認識し明確にすることは情報セキュリティ対策の第一歩です。
情報資産を洗い出すことで、
・職場のどこに、どのような形で、どの程度重要な情報資産を有しているか
・それらの情報資産に対して、どのような脅威が存在するか
・現在行われている保護や情報セキュリティ対策にはどのような弱み(脆弱性)があるか
を明確にでき、その結果、とるべき情報セキュリティ対策も明確化できます。
ちなみに、本ブログでご紹介している情報資産を洗い出した後の作業は、
・情報資産毎の資産価値やリスクの分析・算出
・分析結果を踏まえた対策の立案・実施、
というのが情報セキュリティ対策中の、いわゆるリスクアセスメントのおおよその流れです。
これらについてはまた別途書いてみたいと存じます。
*参考:ISO/IEC27001:2013(JIS Q 27001:2014)、6.2.1項「情報セキュリティリスクアセスメント」
(Primary-f/向実庵 代表)
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
Commentaires