「資産の評価」の「資産の分類区分」の定義を、自社に合うように変更してよいですか。
2018/10/18
ISMSサンプル文書集. 1,625 views
ISMSサンプル文書集の「ISMS-B06 リスクマネジメント管理規程」に関して質問です。
「3.2 資産の評価」(2) 資産の区分(ISMS-B06-1.00 4ページ)ですが、資産区分の表中の「○○性の分類区分」の定義については、自社に合うように変更してよいものでしょうか。
例えば、機密性の「極秘」について、「・・・漏洩した場合、会社全体に影響がでるもの」=極秘 とはし難く、「・・・漏洩した場合、社会全体に影響がでるもの」にすることはできるものでしょうか。
サンプル文書集では、一般的な営利組織の事例を示しております。
これらの組織においては、資産の機密性や完全性、可用性が損なわれると、事業に影響(損害)を与えることになります。
よって、その影響(損害)を評価することが、資産を評価するという考えです。
「資産の評価」は、自組織の取り扱っている資産の種類や取引先など様々な要素が絡みますので、自組織が常識の範囲内でどのように評価基準を定義(意味付け)し資産の価値を決定するかがポイントだと思います。
例えば、自治体等の組織であれば、予算総額や住民からの信頼といった視点を取り入れることも考えられるでしょう。
「社会全体に影響がでるもの」に関してですが、自組織でそのように判断されたのであれば、それでも良いかと思いますが、ちょっとスケールが大きすぎるような気もします。
「社会全体に影響がでる」といえば、例えば、行政が収集・管理している全国民のマイナンバーや、通話・通信記録などの広範囲に及ぶ資産など、国と関わる仕事をしているような場合がイメージされます。
資産評価の視点は、その組織の重要な利害関係者の利益に関連する視点も一緒に考えられると良いかと思います。
