ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

情報資産のグループ化からリスクグループ分析対策表までの流れに関して

2014/09/10
ISMS全般.  5,455 views

この記事は、内容が古い可能性がありますのでご注意ください。

購入させて頂いた「ISMS認証取得支援パッケージ」にてISMS取得準備を行っていますが、取得支援ガイドP.41の内容について確認させて頂きたい事があります。

P.41にてISMS-B06-1.00-D01情報資産台帳に3つの例が記載されていますが、資産価値が違う同一グループ名が存在しているようです。

そしてリスクグループ分析対策表は各グループ毎に作成するように書かれていますが、リスクアセスの観点からすると「グループ名+資産価値」の複合がユニークな値となり、それぞれにリスクグループ分析対策表を作成する、という考え方で間違いないでしょうか。

ガイドのサンプルだと「1F-IT-PA-BX-444」と「1F-IT-PA-BX-223」がそれぞれ別表となる解釈でよろしいでしょうか。

はじめに、簡単ではございますが、サンプル文書における流れを説明します。
(※脅威の洗い出しと見直しの部分は、説明を省略しております。)

①担当者ごとに、「情報資産台帳」に情報資産を洗い出す。(ガイド P39)
②担当者もしくはワーキンググループにて、資産価値(機密性、完全性、可用性)の評価を行い、「情報資産台帳」に記入する。(ガイド P39)
③ワーキンググループにて、「情報資産台帳」に洗い出された資産のグルーピング(どのグループになるかの判断)を行い、グループ名を記載する。(ガイド P40)
④再度、ワーキンググループにて同じグループの資産価値の評価(平準化)を行う。(ガイド P42)
⑤④で平準化したグループ名とその資産価値を「リスクグループ分析対策表」に記載し、リスクアセスメントを実施する。(ガイド P46~49)

ご質問の以下の点に関して。

|P.41にてISMS-B06-1.00-D01情報資産台帳に3つの例が記載されていますが、
|資産価値が違う同一グループ名が存在しているようです。

これは、上記流れの③の部分に該当します。
その後、④の段階で、「平準化」という作業を行います。
これは、一人で作業される場合や、グルーピングを行う際に行っても良いのですが、あえて作業を分けて説明しております。

「平準化」とは、同じ情報資産でも、資産価値(機密性、完全性、可用性)の評価が異なる場合があります。
それを、再度確認し、資産価値を統一する作業です。

平準化する場合は、各資産で設定されている資産価値(機密性、完全性、可用性)の最大値を、グループの資産価値として設定します。
 例)資産A:機密性=1 資産B:機密性=3の場合
   グループの機密性は3になります。

ここで、次のご質問(以下)に関して。

|そしてリスクグループ分析対策表は各グループ毎に作成するように書かれていますが、
|リスクアセスの観点からすると「グループ名+資産価値」の複合がユニークな値となり、
|それぞれにリスクグループ分析対策表を作成する、という考え方で間違いないでしょうか。
|ガイドのサンプルだと「1F-IT-PA-BX-444」と「1F-IT-PA-BX-223」が
|それぞれ別表となる解釈でよろしいでしょうか。

ご指摘の「グループ名+資産価値」の複合をユニークな値として、「1F-IT-PA-BX-444」と「1F-IT-PA-BX-223」のリスクアセスメントを行うというのも、考え方としては間違ってはおりません。
ただ、弊社サンプル文書では、「平準化」により「1F-IT-PA-BX」(資産価値:444)となります。

これは、どの単位でグループ化・平準化をするかにより異なります。
例としては、あまり適切ではないかもしれませんが、会社の組織において「部単位」、「課単位」、「案件単位」のどこでグループ化するかの違いとなります。
お客様の考え方であれば、リスクアセスメント関連の様式が大量に発生する可能性があり、作業が大変になるかもしれません。

JIPDEC発行の「ユーザーズガイド」にも記載されておりますが、「リスク分析の作業を進めるにあたり、『資産のグループ化』は作業負荷軽減と今後の分析作業の効率化に有効な考え方」です。
また、「そもそも資産の特定をする目的は、ISMS適用対象全体で適切なセキュリティ対策を決定することであり、全ての資産を網羅した詳細な資産台帳を作成することが重要ではない」とも書かれています。

あと、弊社ご提供のサンプル文書では、「重要資産」という定義をしております。(ガイド P39)
これは、機密性、完全性の資産価値が≧4の場合その資産を「重要資産」として、「可用性は重視しない」という考え方です。(あくまでも1つの考え方です)

「重要資産」を設けた理由は、グループ化された際、資産価値がグループ内各資産の最大値が設定されてしまうため、資産価値が低い資産も含めて、全ての資産に対して最高レベルのセキュリティ対策がルールとして適用され、運用する上で大変になるからです。
これを避けるため、各規程において文書中で主語として「重要資産は~する。」と記述されており重要資産では無い資産については厳しいルールは適用されないようにしております。

なお、リスクアセスメントに関しては、そのやり方が1つとは限られておりません。
また、ISMSにおいても一番重要で大変な作業となるため、できるだけ効率よく、適切なセキュリティ対策が決められる方法を考える必要があるかと思います。