重要資産、機密性と完全性
情報セキュリティ運営管理規程10.1項分類の指針で定義されている重要資産は、機密性4以上の情報資産とされており、この重要資産については、後段規定でも示されておりますが、リスクアセスメント管理規程 3情報資産の評価にの最後に「機密性、完全性の資産価値が4以上の場合その資産を重要情報資産とする。」とあります。
【問1】「機密性、完全性」は AND か OR でしょうか。
【問2】重要情報資産概念はどの様なもので、具体的な管理の規定はどこかに記載されているのでしょうか。
【問3】重要情報資産と上述の重要資産の違いはどの様なものでしょうか。
まず、弊社の誤記があります。
下記の「名称」及び「情報資産の定義」を統一してください。
(1)名称を統一して下さい。
誤:”重要情報資産”
正:”重要資産”
(2)重要資産の定義を統一して下さい。
誤:”機密性4以上”
正:”機密性または完全性の資産価値が4以上”
【問1】ですが、上記(2)のように、定義を統一していただく必要があります。
「機密性、完全性」は、“OR”で、”機密性または完全性の資産価値が4以上”が正解となります。
【問2】に関してです。
まず、重要情報資産概念ですが、御社で洗い出された資産の中で、御社が重要であると定義(例えば機密性が4以上の資産とか)した資産で、社外への持ち出し時に「重要資産持ち出し管理簿」により持ち出しの管理対象となる資産になります。
逆に、機密性が4未満の資産は重要資産とはならず、「重要資産持ち出し管理簿」による持ち出しの管理対象外となります。
次に具体的な管理の規定ですが、規程上は記述されていませんが、「B10 物理的・環境的管理規程の3.5 構外にある設備のセキュリティ(A.9.2.5)の(2)」が関連します。
【問3】は、弊社の誤記です。
“重要情報資産”と“重要資産””は同じものです。
正しくは、“重要資産”となります。“重要情報資産”を“重要資産”に変更願います。