ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

重要資産、機密性と完全性

2008/06/16 (2019/09/21)
ISMSサンプル文書集.  4,157 views

情報セキュリティ運営管理規程10.1項分類の指針で定義されている重要資産は、機密性4以上の情報資産とされており、この重要資産については、後段規定でも示されておりますが、リスクアセスメント管理規程 3情報資産の評価にの最後に「機密性、完全性の資産価値が4以上の場合その資産を重要情報資産とする。」とあります。

【問1】「機密性、完全性」は AND か OR でしょうか。

【問2】重要情報資産概念はどの様なもので、具体的な管理の規定はどこかに記載されているのでしょうか。

【問3】重要情報資産と上述の重要資産の違いはどの様なものでしょうか。

まず、弊社の誤記があります。
下記の「名称」及び「情報資産の定義」を統一してください。

(1)名称を統一して下さい。
  誤:”重要情報資産”
  正:”重要資産”

(2)重要資産の定義を統一して下さい。
  誤:”機密性4以上”
  正:”機密性または完全性の資産価値が4以上”

【問1】ですが、上記(2)のように、定義を統一していただく必要があります。
「機密性、完全性」は、“OR”で、”機密性または完全性の資産価値が4以上”が正解となります。

【問2】に関してです。
まず、重要情報資産概念ですが、御社で洗い出された資産の中で、御社が重要であると定義(例えば機密性が4以上の資産とか)した資産で、社外への持ち出し時に「重要資産持ち出し管理簿」により持ち出しの管理対象となる資産になります。

逆に、機密性が4未満の資産は重要資産とはならず、「重要資産持ち出し管理簿」による持ち出しの管理対象外となります。

次に具体的な管理の規定ですが、規程上は記述されていませんが、「B10 物理的・環境的管理規程の3.5 構外にある設備のセキュリティ(A.9.2.5)の(2)」が関連します。

【問3】は、弊社の誤記です。
“重要情報資産”と“重要資産””は同じものです。
正しくは、“重要資産”となります。“重要情報資産”を“重要資産”に変更願います。