机の中にある情報資産の洗い出し方法
情報資産の洗い出しの中で、机の中のものについてですが、
一般的にみて、どのような洗い出し、グルーピングの方法があるのでしょうか?
一般的にみて、どのような洗い出し、グルーピングの方法があるのでしょうか?
机の中身全てを洗い出しし、それひとつ、ひとつについてリスクアセスメントを行うのは、あまりにも手間がかかることはわかっています。
情報のグルーピング表では、ラック、キャビネット、机とひとくくりにしていますが、このようにシンプルに考えるべきなのでしょうか?
一般的なお考えでよいので、よろしくおねがいいたします。
御社の机の中に、どのような資産があるのかが分かりません。
よって、適切な回答は出来きていないかもしれないことを、ご了解ください。
グルーピング及び洗い出すものの基本は、「リスクアセスメント管理規程-”2 情報資産の洗出し(4.2.1d)1))”-”(2) 資産の調査”-”②資産の分類”に記述されているものが基本となります。
机の中ですから、その内の”情報(紙、記憶媒体)”、”個人情報”、”ソフトウェア(記憶媒体)、ハ-ドウェア(モバイル・携帯機器)などになるのではないかと思われます。
※洗い出しの基準は、紛失や漏えいなどしたら困るものを漏れなく洗い出して下さい。
時間・工数も掛かりますので、シンプルに考えるのが基本だと思います。
また、JIPDECが公開しているガイドでも、同様な手法が紹介されています。
以下のガイドは大変、参考になります。
また、弊社の規程もこのガイドを参考にして作成されておりますので、ご紹介させていただきます。
▼「ISMSユーザーズガイド-JIS Q 27001:2006(ISO/IEC 27001:2005)対応-リスクマネジメント編-」
http://www.isms.jipdec.jp/std/index.html
「ISMSマニュアル 1.2適用(2)適用除外項目」の定義について疑問があります。 ここでいう除外項目とは、弊社で行っている業務すべてのうち、適用範囲の業務以外の業務でしょうか。 それとも…