推奨される取り組み

4 資産分類

設問

重要な情報資産(情報及び情報システム)を、その重要性のレベルごとに分類し、さらにレベルに応じた表示や取扱をするための方法を定めていますか。

(情報資産をその重要性に応じて管理するためには、レベル分け、レベルに応じた表示や取扱方法などの指針及び情報の管理責任者を定める必要があります。)

説明

情報セキュリティ対策を効率的に、かつ高いコスト効果をもって実施するためには、重要な情報資産をあらかじめ把握するとともに、その情報資産の重要度に応じて管理することが必要です。また、情報資産の管理責任者や利用できる人の範囲などを情報資産の重要度に応じて、あらかじめ定めておくことで、取扱がずさんになることを防ぎます。その際、管理すべき情報資産には、情報システムだけでなく情報そのものも含むこと、また情報は、電子媒体に限らず紙媒体などについても管理が必要であることに留意する必要があります。

対策のポイント

1.重要な情報資産の目録を作成しているか
2.情報資産の管理責任者を明確に定めているか
3.情報の重要性に応じた分類及び取扱の指針を定めているか
4.情報システムから出力した情報についても、重要性のレベルや取扱が明確になっているか
5.分類及び取扱の指針に従って情報を分類した上で、重要性のレベルに応じた表示と取扱を行っているか
6.情報資産を利用できる部署や人などの範囲を定めているか

解説

情報セキュリティ対策の最初のステップとして、重要な情報資産を記録した目録を作成する必要があります。主な情報資産には、情報と情報システムがあります。情報には、個人情報のように外部に漏えいした場合に顧客に迷惑をかけるものや、改ざんされると問題になるホームページのコンテンツのようなものがあります。情報システムには、個人情報が保管されているものや障害が発生すると業務が停止してしまうものなどがあります。

情報資産は、その機密性(情報が漏えいしないように保持すること)、完全性(情報が正しいこと)、可用性(必要な時に利用できること)の3つの観点から見た重要度に応じて分類します。たとえば、漏えいしたら困るような情報は、求められる機密性が高いといえます。また、Web上の公開情報などは、求められる機密性は高くはありませんが、改ざん、DoS攻撃などにより、Webが見られない状態になることは防がなければなりません。よって、求められる完全性や可用性は高いということがいえます。このような観点から情報資産の重要度を分類し、重要度に応じた取扱の指針を規定します。守るべき情報資産が明確になったら、さらに、それらの情報資産の管理責任者を定め、重要性のレベルに応じた表示や取扱の方法を定めて実施します。その際、守るべき情報は、電子的な情報に限りません。紙に印刷された情報も、電子的な情報と同様に守るべき情報資産です。冒頭に挙げたような各種の重要情報をプリントアウトした書類は、たとえば鍵のかかる書庫に保管する必要があります。印刷した重要情報をプリンタのトレイに置きっ放しにするなどということはあってはなりません。

加えて、情報資産を利用できる部署や従業者の範囲を定める必要があります。その範囲は規程類などに明記され、従業者に周知されていることが望まれます。