ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

情報資産の評価は、完全性、可用性で実施するべきないのでしょうか?

06.28.2019
ISMS全般.  549 views

現在、情報資産の評価は「開示範囲」、「漏えいした場合の経済的影響」、「漏えいした場合の社会的影響」で評価しています。

やはり、評価は機密性、完全性、可用性で実施するべきないのでしょうか?

一般的に言って、情報セキュリティマネジメントではこれらの3つの要素をバランスよく確保した運用が重要になります。

例えば、機密性ばかりを重視してしまうと(例えば、誰も触れない場所に情報をしまいこんでしまう)と情報の扱いに支障をきたします(可用性を欠く)。
また、適切に管理をした状態だったとしても、改ざんされた情報(完全性を欠く)では意味がありません。
これら3つの要素を1つの枠組みとしてチェックすることで、漏れやバランスを欠いたりすることなく情報の活用をすることを期待できるとされています。

なので、質問のように「開示範囲」、「漏えいした場合の経済的影響」、「漏えいした場合の社会的影響」だけでは、偏ったセキュリティ対策になりかねないのではないかと思います。

ISMSの認証取得を考えた場合は、ご質問の考え方だと規格との整合性を取ることが非常に難しいため、審査の際に、指摘を受ける可能性もあるかと思います。
なお、CIA(機密性、完全性、可用性)の個々の影響度の基準要素として、ご質問の考え方を使用するのであれば、問題は無いかと思います。