ISMSの情報資産台帳に載せる対象物について
ISMSの情報資産台帳に載せる対象物について質問させてください。
弊社ではガスや薬品を使用する製造業を営んでおりますが、最近の製造装置は、ネットワークにもつながり、制御にPCを使用しています。
また、ガスや薬品漏洩の検知機もWindowsOS内蔵のものが増えております。
こういった、製造装置の呼称は当然生産に影響を与えるので、情報資産かと思われるのですが、古い製造装置は、制御基板を内蔵した、機械然としてものです。
同じ製造装置を制御装置で区別するのも妙な感じがするのですが、これらはすべて情報資産として登録すべきでしょうか?
また、ガス検知機等も情報資産に含めるべきでしょうか?
その発想で行くと、火災報知器も情報資産に含まれてしまうのでは無いかと思い、線引きに悩んでおります。
情報資産の線引きに適切なガイドラインなどはあるのでしょうか?
御社で業務を行う上で重要(可用性や完全性が高い)なものだと思われますので、ガス検知機等もあわせて、区別されても結構ですから登録すべきだと思われます。
ただし、業務と直接関係がないもの、先にあげられた「火災報知器」や「消耗品(電池、文房具など)」は、登録しなくとも良いかと思います。
ただ、おっしゃる通り、上記のように登録すべきものとそうでないものの線引きは、確かに難しいですね。
一つの考え方としては、その資産に関して、以下の①~③を考慮し、極端に低い場合などは、資産として登録しないとする方法もあります。
①機密性(C)⇒ 漏えいしたら困る度合
②完全性(I)⇒ 情報:内容が間違っていると困る度合 / 機器、ソフト:正常に動作しないと困る度合
③可用性(A)⇒ 必要な時に使えないと困る度合
細かな線引きを記述したものに関しては、今のところ、私の知る限りではないかと思います。
JISQ27001に、「資産」の定義が書かれていますので、そちらもご参考にして下さい。
