価値の決定による「重要資産」の扱い
「ISMS-B06 リスクアセスメント管理規程」の中で、
「3.2 資産の評価」 「(3)価値の決定」で、
”機密性、完全性の資産価値が≧4の場合その資産を「重要資産」とする。”と、ありますが、「重要資産」と分類したものは、次の展開として、どのように反映されているのでしょうか?
「3.2 資産の評価」 「(3)価値の決定」で、
”機密性、完全性の資産価値が≧4の場合その資産を「重要資産」とする。”と、ありますが、「重要資産」と分類したものは、次の展開として、どのように反映されているのでしょうか?
どこかの帳票に反映させるとか、「重要資産」に基づいて次の作業が伴うことがあるのでしょうか。
よろしくお願いします。
次の展開と言うよりも、重要資産についてはセキュリティ対策の対応レベルが、重要資産以外の資産とは異なったルールが規程書などで規定されるとお考え下さい。
例えば、「ISMS-B10 物理的・環境的管理規程」では、以下のように重要資産にのみに適用されるセキュリティ対策のルールが規定されています。
************ 「ISMS-B10 物理的・環境的管理規程」 ************
3.7 資産の移動(A.9.2.7)
パソコンや情報、ソフトウェア等の情報資産は勝手に移動されてしまうと思わぬ
事態を招く可能性があり、それらのリスクの低減を行う。
(1) 重要資産については、安全領域以外へ原則として持出し禁止とする。具体的
には、3.5項「郊外にある装置のセキュリティ」に準ずること。
***********************************************************
逆に言うと、重要資産でなければそのルールは適用されないことになります。
※注
上記と同じように同規程や他の規程でも、「重要資産については~を行なうこと。」など、重要資産に限定された記述がありますのでご確認下さい。
「ISMSマニュアル 1.2適用(2)適用除外項目」の定義について疑問があります。 ここでいう除外項目とは、弊社で行っている業務すべてのうち、適用範囲の業務以外の業務でしょうか。 それとも…