ISMSの重要資産とは?機密性と完全性の判定はAND(かつ)とOR(または)のどちらですか?
情報セキュリティ運営管理規程10.1項分類の指針で定義されている重要資産は、機密性4以上の情報資産とされており、この重要資産については、後段規定でも示されておりますが、リスクアセスメント管理規程 3情報資産の評価にの最後に「機密性、完全性の資産価値が4以上の場合その資産を重要情報資産とする。」とあります。
【問1】「機密性、完全性」は AND か OR でしょうか。
【問2】重要情報資産概念はどの様なもので、具体的な管理の規定はどこかに記載されているのでしょうか。
【問3】重要情報資産と上述の重要資産の違いはどの様なものでしょうか。
ご質問ありがとうございます。
ご指摘いただいた箇所は、ISMSの「重点管理」を左右する非常に重要なポイントです。サンプル文書における表記の揺れに対するお詫びとともに、設計思想に基づいた正しい定義と管理方法について、以下の通り回答・整理させていただきます。
まず、混乱を招いた表記と定義を以下の通り統一して運用してください。
- 名称の統一: 全て 「重要資産」 に統一します。(「重要情報資産」は誤記です)
- 定義の統一: 「機密性 または 完全性 の資産価値が 4 以上」 の資産を指します。
【問1】「機密性、完全性」は AND か OR か
正解は 「OR(または)」 です。
機密性(情報の漏洩)が「4:極秘」である場合はもちろん、たとえ機密性が低くても、完全性(情報の正確性・改ざん)が「4:非常に高い(不正確な場合に会社全体に影響が出る)」ものであれば、それは組織にとって守るべき最優先の資産となります。そのため、いずれか一方が「4」以上であれば「重要資産」として抽出するのがISMSの安全な設計思想です。
【問2】重要資産の概念と、具体的な管理規定について
① 概念:管理リソースの「選択と集中」
ISMSでは全ての資産を一律に厳重管理することは現実的ではありません。そこで、万が一の事態が起きた際に「会社全体に深刻な影響(レベル4)」を及ぼす資産を「重要資産」と定義し、物理的な持ち出し制限や特別な承認フローを課すことで、管理の効率と強度を両立させています。
② 具体的な管理規定
「リスクマネジメント管理規程」で特定された重要資産は、主に以下の規定・運用と連動します。
- 物理的・環境的管理規程(B10):
3.5項「構外にある設備のセキュリティ」に関連します。重要資産を社外へ持ち出す際は、紛失・盗難リスクが極めて高くなるため、特別な配慮が必要です。 - 重要資産持ち出し管理簿:
重要資産に該当するものは、この管理簿への記載と上席者の承認を必須とする運用を想定しています。逆に、価値が「3」以下の資産は、この厳格な持ち出し管理の対象外とすることで、現場の利便性を損なわないように設計されています。
【問3】重要資産と重要情報資産の違いについて
結論から申し上げますと、両者は全く同じものを指しています。サンプル文書内での表記に揺れがあり、混乱を招きましたことを深くお詫び申し上げます。
「重要情報資産」という表記がある箇所は、全て「重要資産」と読み替えて修正いただけますようお願い申し上げます。
最後に|実務運用のためのアドバイス
ISMSの審査において、「なぜこの資産を重要としているのか」という根拠は必ず問われます。
「4(極秘・非常に高い)」という評価は、弊社の基準では「会社全体に影響が出るレベル」としています。この「4」が付いた資産をリストアップし、それに対して「重要資産持ち出し管理簿」という具体的な網羅的対策を紐付けることで、審査員に対しても「リスクアセスメントの結果が、実際の運用(持ち出し管理)に正しく反映されている」という強いエビデンス(証跡)を示すことができます。
今回の修正により、規程間のロジックが一本筋で通ることになりますので、ぜひこの定義で運用を進めてみてください。
以下の【参考】もあわせて、ご参考ください。
