リスクアセスメント管理規程の「8 附属資料(分類コード表)」記載について
「リスクアセスメント管理規程」の記載について教えてください。
「8 附属資料(分類コード表)」へ下記のような記載があります。
※1 ソフト(プログラム)は電子データになっているものとして考えています。CDなどからPCインストールされたもの。
※2 情報資産欄の記憶媒体はソフトウェアなどが入っているものも含めています。
分類コード表に記憶媒体が、保管形態欄と設置・保管場所欄の2種類存在しますが、違い・使い分けはどのように想定されているでしょうか?
「3.1 情報資産の洗い出し」の分類(ハードウェア)の資産例には記憶媒体(FD、CD等)と記載がありますので、分類コードを参照するまで、市販ソフトウェアのCD媒体はハードウェアの分類になると考えておりました。
「8 附属資料(分類コード表)」へ下記のような記載があります。
※1 ソフト(プログラム)は電子データになっているものとして考えています。CDなどからPCインストールされたもの。
※2 情報資産欄の記憶媒体はソフトウェアなどが入っているものも含めています。
分類コード表に記憶媒体が、保管形態欄と設置・保管場所欄の2種類存在しますが、違い・使い分けはどのように想定されているでしょうか?
「3.1 情報資産の洗い出し」の分類(ハードウェア)の資産例には記憶媒体(FD、CD等)と記載がありますので、分類コードを参照するまで、市販ソフトウェアのCD媒体はハードウェアの分類になると考えておりました。
また、「※2 情報資産欄の記憶媒体は…」とありますが、情報資産欄が存在しませんが、
「※2 設置・保管場所欄の記憶媒体は…」が正しいのでしょうか?
「※2 保管形態欄の記憶媒体は…」が正しいのでしょうか?
以上、よろしくお願いします。
まず、記憶媒体の保管形態欄と設置・保管場所欄の使い分け・考え方ですが、以下の様な違い・使い分けで考えております。
◆保管形態欄での記述
種別としてハードウェアに分類される資産(物)そのものを意味しています。
※資産としての記憶媒体を意味。
◆設置・保管場所欄での記述
電子データなどの保管場所・格納場所としての場所を意味しています。
※保管場所としての記憶媒体を意味。
なお、記憶媒体以外でもサーバなども上記と同じ違い・使い分けとして保管形態欄と設置・保管場所欄の両方に存在させています。
なお、”保管形態欄”と記述しているために分かり辛くなっているかと思いますが、”保管形態欄”を、”資産をグループ化したグループ種別名”として、置き換えて考えられると分かり易くなるかと思います。
ちなみに、市販ソフトのCD媒体はハードウェアの分類の考え方であっています。
空のCDを考えた場合は、資産としてハードウェアにも該当し、また、電子データなどの保管場所にも該当します。
「※2 情報資産欄の記憶媒体は…」の記述は誤字です。
正しくは”情報資産欄”では無く、”保管形態欄”になります。
記憶媒体には空CDだけでは無く市販ソフトウェアのCD媒体も含むことの補足文です。
プライバシーマークの書類審査の結果がかえってきた答えに対して、修正等をおこなっているところです。 承認のための様式が無いとの3.4.2.の取得利用のあたりで複数指摘…