「内・外部文書管理台帳」に乗せている文書は、資産評価を行わなくてもいいのでしょうか。
ISMSの文書サンプルの修正を行っている中で、少し疑問に思うことがありましてご連絡致します。
質問事項は下記となります。
①サンプルを見れば「内・外部文書管理台帳」に乗せている文書は、「情報資産台帳」では乗せてないです。これは内・外部文書が情報資産の範囲には入らないという意味でしょうか。
②「内・外部文書管理台帳」には資産の評価欄がないですが、この二つの台帳に入っている文書に対しては資産評価を行わなくてもいいのでしょうか。
考え方としては、内部文書および外部文書に関係なく、基本、自社として価値(CIA)が高いと考えられる資産は、別途「リスクマネジメント規程」に従い、資産評価する必要があります。
例えば、以下のようなものは、価値(CIA)が高い資産と考えることもできます。
・内部文書の例としては、「社員教育のテスト結果」などに個人情報が含む場合
・外部文書の例としては、ほとんどが公知なものであることが想定されますが、重要な文献など文書を外部文書として登録している場合、それが漏えい等することがリスクになり得る場合など。
どのようなものが資産評価が必要かは組織によって異なるため、「リスクマネジメント規程」の「3.1 情報資産の洗い出し」の「(2) 資産の分類」の資産例を参考もしくは変更して対応してください。