「資産の評価」の「資産の分類区分」の定義を、自社に合うように変更してよいですか。
ISMSサンプル文書集の「ISMS-B06 リスクマネジメント管理規程」に関して質問です。
「3.2 資産の評価」(2) 資産の区分(ISMS-B06-1.00 4ページ)ですが、資産区分の表中の「○○性の分類区分」の定義については、自社に合うように変更してよいものでしょうか。
例えば、機密性の「極秘」について、「・・・漏洩した場合、会社全体に影響がでるもの」=極秘 とはし難く、「・・・漏洩した場合、社会全体に影響がでるもの」にすることはできるものでしょうか。
サンプル文書集では、一般的な営利組織の事例を示しております。
これらの組織においては、資産の機密性や完全性、可用性が損なわれると、事業に影響(損害)を与えることになります。
よって、その影響(損害)を評価することが、資産を評価するという考えです。
「資産の評価」は、自組織の取り扱っている資産の種類や取引先など様々な要素が絡みますので、自組織が常識の範囲内でどのように評価基準を定義(意味付け)し資産の価値を決定するかがポイントだと思います。
例えば、自治体等の組織であれば、予算総額や住民からの信頼といった視点を取り入れることも考えられるでしょう。
「社会全体に影響がでるもの」に関してですが、自組織でそのように判断されたのであれば、それでも良いかと思いますが、ちょっとスケールが大きすぎるような気もします。
「社会全体に影響がでる」といえば、例えば、行政が収集・管理している全国民のマイナンバーや、通話・通信記録などの広範囲に及ぶ資産など、国と関わる仕事をしているような場合がイメージされます。
資産評価の視点は、その組織の重要な利害関係者の利益に関連する視点も一緒に考えられると良いかと思います。
最新規格に対応したISMSやPマーク、ISO9001の取得支援のためのマニュアル及び規程などの文書サンプル、社員教育用テキストを作成及び販売しています。また、取得及び構築支援として、無料にてメールサポートも実施しております。
経歴
- 商品の提供年数:ISO9001は2000年から現在までの25年間。ISMSは2002年から現在までの23年間。プライバシーマークは2006年から現在までの20年間。
- 商品利用者数:5,000件以上(2025年6月時点)。
- 商品利用者の業種:各業種企業、ISOコンサルタント、審査員、審査員研修機関など。
監修・協力
- 提携コンサルタント:ISO27001(ISMS)、プライバシーマーク(Pマーク)、ISO9001
