「4.2グルーピングする」について質問がございます。
ISMS認証取得支援パッケージを利用させていただいておりますが、ISMS認証取得ガイドの「4.2グルーピングする」について質問がございます。
グループ化での注意点として
「保管場所による分類で同じ情報形態であっても、保管場所が異なるとグループ化できません」
とありますが、
分類コード表には「ラック、キャビネット、机…」というふうに1つに分類されています。
これはグルーピングの際には分けた方がいいのでしょうか?
まず、「分類コード表」にあります「ラック、キャビネット、机、脇机」の記述に関してでございますが、こちら通りにしていただく必要もないことを、事前にお断りしておきます。
「同じ情報形態であっても、保管場所が異なるとグループ化できません」というのは、保管場所の違いにより、情報漏えいの危険が大きく異なる場合は、リスク対応も異なってくるというように考えてください。
設置・保管場所は、企業様のオフィス等の状況により異なるかはと思います。
例えば、鍵が常にかけられているラックやキャビネットと自由に取り出せる机では、情報漏えいのリスクは異なり、リスク対応も異なってきます。
グルーピングでは、多数の情報資産を、できるだけ同じ状況や状態のものでまとめ、リスク対応を決定しやすくするためのものです。
ガイドの「分類コード」の「ラック、キャビネット、机、脇机」は、言い方を変えると、「ラックとキャビネット、どちらに保存してもたいして変わらない」ということです。
なので、ラックやキャビネットなど、それぞれ分けてグルーピングするのではなく、同じレベルのものとして、同じ分類コードにグルーピングしています。
ラックやキャビネット、机、脇机の保管レベル(例えば鍵がかかっている等)が異なっているならば、分類コードの「設置・保管場所」の項目を見直した方が良いかもしれません。
ただし、あまり詳細に考えてしますと、リスク対応が煩雑になる可能性があるため、注意が必要です。