情報資産管理　その２　～　セキュリティ関連規程の記載事項について　～

• 投稿日：2020-02-17　
• 最終更新日：2020-12-22　
• 表示：294PV　
• カテゴリ：セキュリティ関連規程, バックアップ

３回前から「情報セキュリティ規程には何を書くか？」の各項目のお話をしています。
今回は第３回の「情報資産管理」その２です。

情報セキュリティ関連規程

目次

「情報セキュリティ関連規程」には、次の項目があります。

1. 組織的対策
2. 人的対策
3. 情報資産管理
4. アクセス制御及び認証
5. 物理的対策
6. ＩＴ機器利用
7. ＩＴ基盤運用管理
8. システム開発及び保守
9. 委託管理
10. 情報セキュリティインシデント対応及び事業継続管理

情報資産管理

情報資産管理の内容

組織における情報資産の定義とその管理責任、保存、取り扱いなどを決めています。
具体的には次のとおりです。

• 情報資産の管理
• 情報資産の社外持ち出し
• 媒体の処分
• バックアップ

情報資産の社外持ち出し

情報資産を社外に持ち出す場合の規定です。
大きく分けると次の２つに分類できます。

1. 許可を得る人
2. 情報資産を守る対応

許可を得る人

基本的には、前回お話をした「情報資産の管理責任者」に許可を得ます。
「情報資産の機密性の評価（分類）」がある場合、許可を得る相手が変わることもあります。
例えば、重要な情報資産であれば、情報資産の管理責任者より上位の人、「課長が管理責任者であれば部長」になります。

情報資産を守る対応

情報資産を格納する物（媒体）に対するセキュリティ対策です。
例えば、「ＰＣを紛失した場合に備えてＨＤＤを暗号化する」です。

媒体の処分

媒体を処分する場合の規定です。
媒体の処分についても、２つに分けられます。

1. 媒体の廃棄
2. 媒体の再利用

媒体の廃棄

媒体を廃棄する場合です。
廃棄というと捨てることだけをイメージしますが、それだけではありません。
組織の管理から離れる場合も含みます。
よくある例では、レンタルＰＣを返却する場合です。
例えば、廃棄する場合は「破壊」するとしていても、返却するＰＣを「破壊」することはできません。
このため、レンタル品の扱いについても、規定を設けた方が良いです。

媒体の再利用

媒体を再利用する場合です。
よくある例では、ＵＳＢを再利用する場合です。
その他、紙の書類の場合、裏紙として再利用する場合もあるでしょう。
このような場合の対応方法を規定します。

バックアップ

バックアップに関する規定です。
バックアップについては、次の３つを決めます。

1. バックアップの取得対象
2. バックアップ媒体の取り扱い
3. クラウドサービスを利用したバックアップ

バックアップについては、既にお話をしていますので、その回をご紹介します。

バックアップの取得対象

何をバックアップするか？を決めます。
具体的には、バックアップの範囲でお話をしています。

バックアップ媒体の取り扱い

バックアップした媒体の取り扱いです。
具体的には、バックアップの保管場所でお話をしています。

クラウドサービスを利用したバックアップ

基本的な考え方は、バックアップの保管場所でお話をしています「社外」と同じです。
クラウドサービスは「社外管理」ですので、管理方法を別途定める必要があります。
この管理方法の規定を策定します。

次回は、「アクセス制御及び認証」のお話です。

タグ：セキュリティ関連規程, バックアップ, 情報資産, 情報資産管理, 暗号化

広告枠・・・広告やリンク先の保証はしません

参考記事（一部広告含む）

このページの記事についてちょっと質問！