「内・外部文書管理台帳」に載せた文書は、情報資産としての評価を行わなくてもよいのですか?
ISMSの文書サンプルの修正を行っている中で、少し疑問に思うことがありましてご連絡致します。
質問事項は下記となります。
①サンプルを見れば「内・外部文書管理台帳」に乗せている文書は、「情報資産台帳」では乗せてないです。これは内・外部文書が情報資産の範囲には入らないという意味でしょうか。
②「内・外部文書管理台帳」には資産の評価欄がないですが、この二つの台帳に入っている文書に対しては資産評価を行わなくてもいいのでしょうか。
文書改訂における「文書管理」と「資産管理」の考え方の違いについて解説いたします。
結論から申し上げますと、文書管理台帳に記載された文書も「情報資産」ですが、ISMSの運用上、管理の目的を分けて運用しています。
1. 2つの台帳の使い分け
それぞれの台帳がISMSのどの要求事項に対応しているか整理すると、理解がスムーズになります。
- 文書管理台帳(内・外部):
主に規格の「7.5 文書化した情報」に対応します。文書の「版数管理(最新であること)」「保管期間」「承認者」などを管理し、正しい手順書や法令が現場で使われるようにすることを目的としています。 - 情報資産台帳:
主に規格の「6.1.2 情報セキュリティリスクアセスメント」に対応します。組織が保有する情報を「資産」として捉え、その価値(CIA)に応じたリスクを評価・対策することを目的としています。
2. なぜ「情報資産台帳」に個別の文書が載っていないのか
サンプル文書の「情報資産台帳(記入例)」は事例を示しております。情報資産は、各組織により異なり、すべての情報資産の事例を掲載するのが困難であるためです。
考え方としては、規程1つ1つを資産台帳に載せると膨大な量になるため、通常は「社内規程一式」や「マニュアル類」といったカテゴリーとして情報資産台帳に登録し、まとめて資産評価を行うことをお勧めします。
ただし、内部文書の中でも「教育テストの回答結果(個人情報を含む)」や、外部文書でも「高額で購入した技術文献」など、個別に高い価値(機密性・完全性・可用性)があるものについては、独立した資産として情報資産台帳に登録し、個別に評価を行う必要がありますので、ご注意ください。
3. 資産評価をどちらの台帳で行うべきか
「文書管理台帳」に評価欄がないのは、資産評価は一括して「情報資産台帳(およびリスクアセスメントシート)」で行うのがISMSの標準的なフローだからです。
実務的な対応としては、「リスクマネジメント規程」の「情報資産の洗い出し」に基づき、管理台帳にある文書が「どの資産グループに該当するか」を確認してください。もし、その文書が既存のグループに当てはまらない、あるいは特筆して価値が高い場合は、情報資産台帳に新規登録して資産評価を実施します。
どのような文書を個別に資産評価すべきかは、組織の判断によりますが、以下の例を参考にしてください。
- 個別評価すべき内部文書の例: 経営計画書、未発表の製品仕様書、個人情報を含む記録類。
- 個別評価すべき外部文書の例: 顧客から預かった機密資料、高額なライセンス情報、入手困難な専門文献。
4. 実務的なアドバイス
どのようなものを個別に評価すべきかは、貴社の「リスクマネジメント規程」にある「資産の分類」の例を参考にしてください。
「この文書が漏えいしたり、書き換えられたり、使えなくなったりした場合に事業に大きな影響が出るか」という視点で、個別に資産台帳に載せるべきか判断します。
