情シス部門のない企業がISMSの認証取得する際に推進の核となるのは、総務部門を始めとする間接部門の方々が中心になる事が多いと思います。

ISMS　ISO27001では、リスクアセスメントを実施する事が必要となります。最初に情報資産を管理するための台帳の作成が求められていますが、これまでに支援をしてきた内容を踏まえ、押さえるべきポイントをお伝えします。

初めてISMSのリスクアセスメントを実施する組織の方々に少しでも有用な情報を提供できればと思います。

資産の区分けをする

情報資産は、多種多様なものがあります。まず、思い浮かぶものとして紙の書類やサーバーやPCに保管しているデータがあると思います。それと先程書きましたサーバーやPC自体も情報資産となります。

それ以外にも建物、設備、機器、ソフトウエア、サービス、従事している人、無形資産としてブランド、評判　等も含まれます。

資産の区分けとして、紙媒体や電子媒体のデータは「情報」、建物や設備、機器は「ハードウエア資産」　等、予め資産の区分けをします。

ただ、ここでは「情報」以外の資産区分は、組織ごとに様々な区分けで管理している事が想定されます。組織の特性に応じた独自の区分けもあると思います。

資産区分を決めたら区分けごとに取扱い形態を定める

始めにデータ関連は資産区分として「情報」を取り上げると取扱い形態として「紙媒体」がそしてPCやサーバーに保管されている「電子媒体」に分ける事は容易に想像できると思います。

ただ、「電子媒体」では、デスクトップや社内に設置したサーバー　等の固定媒体で保管されているデータもあれば、ノートPCやタブレットで作成し保管しているデータ、スマホで見る事が出来るデータもあり、例えばそれらは「移動媒体」として分ける視点が必要です。

なぜなら、社内で作業して作成・保管しているデータと外部に持ち出して使用できるノートＰＣ、タブレット、スマホ　では、脅威（リスク）の内容が異なるからです。

情報資産を洗い出した後のリスクアセスメントでは、あらゆる脅威を特定して、その脅威を潰して行く事が求められます。

建物や設備、機器については、先程「ハードウエア資産」に区分けできますと書きましたが、その区分けの中で「取扱い形態」にして整理することもできます。

情報資産のラベル付けを行う

例えば、資産区分の情報は、部門毎に作成・保管しているデータは、様々でラベル名称をつけて分類し整理していきます。これは、ISO27002のガイドラインでも示されています。

書類一つ一つを洗い出して情報資産の台帳に載せて管理するのは大変だと思います。例えばラベル付けとして「営業関連書類」とします。そこに顧客との打合せ記録や見積書、提案書　等のデータが該当します。

その後、資産価値を測るのですが、同じ「営業関連書類」でラベル付けをしても価値が異なるものは、別にして台帳に登録をしていく事が出来ます。同じラベル付けの資産が全て同じ価値になるとは限りません。そのような視点も是非お持ちください。

ISO27001の認証を目指した中小企業で以前あったケースです。情報資産の台帳を作るにあたってデータ（文書、記録）の整理と分類をこの機会にやろうとした部門がありました。

誰でもすぐ使えるように体系的に整理する事を考えていました。実際にやってみると書類を体系的に整理するための分類の基準がなかなか定まらず、結局途中で頓挫してしまいました。こちらで本来の主旨に戻そうと説明を何度かしましたが、軌道修正をしていただけませんでした。

結果、この部門は情報資産の台帳の作成をやり直す事になり、他の部門より時間がかかってしまいました。そもそも情報資産の台帳は、情報資産の資産価値を測定し、現状の管理の脆弱性と脅威を評価し、その評価に応じてリスクに対する管理策を立てるためにやります。

確かにデータの分類・整理をしたくなる気持ちはわからないわけでもありませんが、本来は、文書管理の仕組みから考えて進めるケースだと思います。

このラベル付けは、組織内で既に使用されている名称で構いませんし、是非わかりやすい名称にして下さい。このように情報資産の台帳を作成するのは、組織によってどんな資産があるのかを把握するためでもあります。作成する機会がございましたらこれまでの内容を是非参考にしていただければと思います。

次回以降では、その後取り組みについて事例を交えて紹介したいと思います。