どの部署、もしくは誰が管轄の情報資産であるかを記述します。以下のように、管轄が分かる程度に記述すれば問題ありません。
責任の所在を明確にします。ここは管轄ともひも付きますが、一部そうでないものもあります。以下のように、対象の情報資産を統括的に管理できる人間を記述していきます。
誰がそれらの情報資産を利用するか記述します。利用者が特定できていれば、アクセス権限をどのように割り当てるべきか分かりやすくなります。
以上で、情報資産台帳は完成です。
この情報資産台帳を作成する上でのポイントは、「全てを網羅しようと躍起にならないこと」です。まずは分かる範囲で記述していき、充実させていけばいいのです。こうして作られた情報資産台帳は、ISMS(情報セキュリティマネジメントシステム)をはじめとする各種監査では必ず提示を求められます。完成した情報資産台帳は、最低でも1年に1回の見直しを行うべきです。
さて、ここで洗い出した「確実に守らなければならない情報資産」のトップ5やトップ10を作ってみましょう。あなたの上司や会社に対して、「私たちはこれらの情報資産を守らなければならないんです!」と言いやすくなったはずです。
しかし、それらをどのような手段で守ればよいのか、いくらかかるのか、予算の取り方など、課題はまだ残っています。次回からは、実際にいくつかのリスクを対象に、会社の経営リスクを取り去る形でセキュリティを担保しつつ、現場の業務効率もあげていく手法を複数回に分けてご紹介していきます。お楽しみに。
アイレット cloudpack事業部にて情報システム、ネットワーク、セキュリティ(cloudpack-CSIRT含む)にわたる3チームを統括。ならびに情報セキュリティ管理責任者、個人情報管理責任者、PCI DSS管理責任者を兼務する。
情報システム部門であると同時に自社の監査機能も持ち合わせているため、業務効率化とセキュリティレベルの向上を同時に実現させるべく、日々奮闘中。
Copyright © ITmedia, Inc. All Rights Reserved.