情報資産管理　その１　～　セキュリティ関連規程の記載事項について　～

• 投稿日：2020-02-10　
• 最終更新日：2020-12-22　
• 表示：866PV　
• カテゴリ：セキュリティ関連規程

２回前から「情報セキュリティ規程には何を書くか？」の各項目のお話をしています。
今回は第３回の「情報資産管理」その１です。

情報セキュリティ関連規程

目次

「情報セキュリティ関連規程」には、次の項目があります。

1. 組織的対策
2. 人的対策
3. 情報資産管理
4. アクセス制御及び認証
5. 物理的対策
6. ＩＴ機器利用
7. ＩＴ基盤運用管理
8. システム開発及び保守
9. 委託管理
10. 情報セキュリティインシデント対応及び事業継続管理

情報資産管理

情報資産管理の内容

組織における情報資産の定義とその管理責任、保存、取り扱いなどを決めています。
具体的には次のとおりです。

• 情報資産の管理
• 情報資産の社外持ち出し
• 媒体の処分
• バックアップ

情報資産の管理

情報資産を管理する上で必要となる次のような規定があります。

1. 情報資産の特定と機密性の評価
2. 情報資産の分類の表示
3. 情報資産の管理責任者
4. 情報資産の利用者

情報資産の特定と機密性の評価

この項目も次の二つに分けられます。

1. 情報資産の定義
2. 機密性の評価

情報資産の定義

情報資産が決まらないと管理もできません。
このため、情報資産を定義します。
情報資産の定義というと、違和感があるかもしれません。
だって、定義は決まっているはずだから・・・

情報資産の定義については、「情報資産とは？」でお話をしていますが、厳密に何が情報資産であるという定義の仕方ではありません。
このため、それぞれの組織で何が情報資産となるのか？を定義する必要があります。
このための規定を「情報セキュリティ規程」で設けます。

機密性の評価

情報資産が決まると、その重要性も決まってきます。
重要性が一律であれば、機密性の評価は不要です。
しかし、一律でない場合は、評価する必要があります。
評価というより分類と言った方がわかりやすいかもしれません。
この分類によって、管理の仕方が変わってきます。

情報資産の分類の表示

分類に参加した人はわかりますが、参加していない人には、どの情報がどの分類かわかりません。
また、分類に参加した人でも、時間が経過すると忘れてしまうこともあります。
このため、分類した情報がどの分類かわかるように表示します。
例えば、書類に「社外秘」のような記載をする方法です。

しかし、表示できない場合もあります。
そのような場合は、管理台帳を作成して管理します。

情報資産の管理責任者

組織内の情報資産を管理する人です。
組織の範囲によってこの管理責任者が変わります。
組織が会社全体であれば、取締役等がなりますし、部や課のレベルであれば、部長・課長が管理責任者になるでしょう。
工場であれば、工場長になるようなイメージです。
責任者ですから、実務上は、担当者を別に指名して、実務は担当者に任せるというような運用を行う場合もあります。

情報資産の利用者

情報資産を利用できる人を規定します。
責任者の管理下でないと管理が難しいことから、実務的には、責任者の部下となる場合が多いです。

次回は残りの「情報資産の社外持ち出し」「媒体の処分」「バックアップ」のお話をします。

タグ：セキュリティ関連規程, 情報資産, 情報資産管理

広告枠・・・広告やリンク先の保証はしません

参考記事（一部広告含む）

このページの記事についてちょっと質問！