ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

拠点が複数に分かれている又はクラウドサービスを利用している場合の分類コードのつけ方

01.08.2019 | ISMSサンプル文書集.  145 views

情報資産台帳のグループ名(分類コード)の以下の点について教えてください。

・拠点が複数(本社と支店等)に分かれている場合、それもコードに含めた方が良いでしょうか?
・クラウドサービス(Office365やAWS)を利用している場合、保管形態はサーバーで良いでしょうか?クラウド(もしくは外部サーバー)であることが分かるようにした方が良いでしょうか?

まず、確認のため、ISMSサンプル文書集における資産のグループ分けに関してご説明させていただきます。

資産をグループにする(グルーピング)目的は、それによりセキュリティ対策を打つ資産の単位を圧縮され、リスクアセスメント対策をより一層簡便するために行っております。
ちなみにサンプル文書集では、以下の4つのポイントにおいてグルーピングを行っています。
グルーピングにおける決まりはございませんので、追加などがあれば変更しただいて結構です。

1) 情報の種類が同じである。
2) 保管形態が同じである。
3) 保管場所が同じである。
4) 保管サイトが同じである。

ご質問の「拠点が複数に分かれている場合」ですが、拠点が異なる場合は環境が変わるため、上記3)および4)が異なることになります。
全く、同一の環境を確保できている場合を除き、別途コードを付けた方が良いかと思います。

「クラウドサーバ」に関してですが、リスクアセスメントの際に影響がないようであれば、同一のコードでも良いかと思いますが、クラウドサーバ毎に対策が異なることが考えられるのであれば、異なるコードをつけグループ分けすることをお勧めします。
同じ資産でも何かが違うから重要度やリスクや安全管理措置などが異なるわけなので、資産番号やコードは分けた方が分かり易いし、審査の際の対応でも分かりやすいかと思います。