「4.2グルーピングする」について質問がございます。
ISMS認証取得支援パッケージを利用させていただいておりますが、ISMS認証取得ガイドの「4.2グルーピングする」について質問がございます。
グループ化での注意点として
「保管場所による分類で同じ情報形態であっても、保管場所が異なるとグループ化できません」
とありますが、
分類コード表には「ラック、キャビネット、机…」というふうに1つに分類されています。
これはグルーピングの際には分けた方がいいのでしょうか?
まず、「分類コード表」にあります「ラック、キャビネット、机、脇机」の記述に関してでございますが、こちら通りにしていただく必要もないことを、事前にお断りしておきます。
「同じ情報形態であっても、保管場所が異なるとグループ化できません」というのは、保管場所の違いにより、情報漏えいの危険が大きく異なる場合は、リスク対応も異なってくるというように考えてください。
設置・保管場所は、企業様のオフィス等の状況により異なるかはと思います。
例えば、鍵が常にかけられているラックやキャビネットと自由に取り出せる机では、情報漏えいのリスクは異なり、リスク対応も異なってきます。
グルーピングでは、多数の情報資産を、できるだけ同じ状況や状態のものでまとめ、リスク対応を決定しやすくするためのものです。
ガイドの「分類コード」の「ラック、キャビネット、机、脇机」は、言い方を変えると、「ラックとキャビネット、どちらに保存してもたいして変わらない」ということです。
なので、ラックやキャビネットなど、それぞれ分けてグルーピングするのではなく、同じレベルのものとして、同じ分類コードにグルーピングしています。
ラックやキャビネット、机、脇机の保管レベル(例えば鍵がかかっている等)が異なっているならば、分類コードの「設置・保管場所」の項目を見直した方が良いかもしれません。
ただし、あまり詳細に考えてしますと、リスク対応が煩雑になる可能性があるため、注意が必要です。
最新規格に対応したISMSやPマーク、ISO9001のマニュアル及び規程などの文書サンプル、社員教育用テキストを作成及び販売。取得及び構築支援として、無料にてメールサポートの実施。
経歴
- 提供年数:2000年から現在までの25年間
- 利用者数:5,000件以上
- 提供先業種:各種企業及び団体、ISOコンサルタント、審査員、審査員研修機関など
監修・協力
- 提携コンサルタント:ISO27001(ISMS)、プライバシーマーク(Pマーク)、ISO9001
