適合性管理規程について、役割の兼務について、情報資産について
●規程の内容について
「ISMS-B14 適合性管理規程 2.1(2)社内規定」の表に「主管組織等」とありますが、こちらは何を入力する欄なのでしょうか。
文書の所有者(就業規則なら弊社)でしょうか。
●役割の兼任について
弊社は小規模な人数で運営を行っているため、「情報セキュリティ運営管理規程 3.ISMS推進体制における各自の責務」にある項目の役割を個別に割り振ることが困難な状態です。
そこで、複数の役割を兼任することが必要となるのですが、以下の兼任はISMSの審査時に問題が発生することはあるでしょうか。
1.情報セキュリティアドバイザと情報セキュリティ管理者の兼任
2.取締役と情報セキュリティ委員長の兼任
3.情報セキュリティ推進責任者と情報セキュリティ委員長の兼任
4.情報セキュリティ内部監査員と情報セキュリティ管理者の兼任
規程や要求事項を見る限り問題ないと思うのですが不安が残りますので、兼任が推奨されない場合、その不利になる点も合わせてご回答お願いできますでしょうか。
●情報資産について
リスクアセスメントする際の情報資産の洗い出しで疑問点があります。
例としていくつか挙げていただいてますが、暖房、証明、電源、空調と例えがありました。
弊社の場合、事務所は賃貸なので空調などはビルの管理となります。
ビルの設備としての空調、電源などはビルの資産なので弊社の情報資産として扱う必要はないと思うのですが、これはいかがでしょうか。
ご質問にお答えさせていただきます。
まず、「規程の内容について」ですが、就業規則を管理している社内での部署等を記載する欄になります。
例えば、「総務部」とか、「人事部」とか。
なお、特定の部署などがない場合は役職名(社長など)でも結構です。
次に「役割の兼任について」ですが、特に規格(JISQ27001 ISO27001)では兼任は禁止されていませんので、原則、1~4はOKです。
「情報資産について」は、まず、資産(情報資産)は、JISQ27001の「3.1 資産(asset)」において、”組織にとって価値をもつもの”と定義されています。
また、JISQ27002の「7.1.1 資産目録」においても、”資産に含まれるものとして、”d)~一般ユーティリティ(例えば,暖房,照明,電源,空調)”が記載されています。
よって、ビルの管理であっても資産として取り扱うのが一般的な捉え方です。
この理由としては、それらの資産が停止や故障した場合のリスクを考え、リスクがあればリスク対策を講じる必要があるためです。
例えば...
①電源が突然ダウンした場合
リスク:ザーバやPCのデータが壊れてしまう可能性がある。
リスク対策:UPS(無停電装置)を設置する。など
②サーバルームの空調が壊れた場合
リスク:サーバの温度が上がり壊れてしまう可能性がある。
リスク対策:定期的にサーバルームの温度や湿度を確認し問題がないかを確認する。など
