ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

情報資産台帳の「保有者」と「リスク所有者」への記載方法

08.21.2019 | ISMSサンプル文書集.  78 views

情報資産台帳に関してお伺いしたい事がございます。

弊社では部長や課長といった役職が特に無く、業務自体もかなりの割合をそれぞれの裁量で行っている状態です。

記入例を見ますと保有者が「○○部長」といった記載になっておりますが、弊社ではこの様な状況のため、一元的な保有者を決めることが難しいです。
そこで、この保有者の欄は「営業部」の様な広い範囲で記入しても問題無いでしょうか。

また、記入例ではリスク所有者が全て「情報セキュリティ委員長」となっており、弊社も情報セキュリティ委員長をリスク所有者に記載しようと思うのですが、全てを情報セキュリティ委員長にするのは一般的でしょうか。

まず、情報資産台帳の「保有者」への記載に関してですが、規格には「保有者」という定義はなく、サンプル文書で使用している用語となります。
この「保有者」欄には、情報資産の保有者を記載することになります。
記入例の「〇〇部長」とあるのは、部単位で取得し管理しているため、その責任者の役職名を記載しております。

ご質問の趣旨からすると、「営業部」でも良いかとも思います。
ただ、もう少し具体的に「営業部の責任者」や「営業部の担当者」と記載する方法もあります。
また、部署課という組織名もないのであれば、業務として捉え「営業業務の責任者」や「営業業務の担当者」などと記載しても良いかと思います。

次に、情報資産台帳のリスク所有者にて、全てを情報セキュリティ委員長にするのは一般的なのかというご質問に関してですが、まず既にご存知かもしれませんが、「リスク所有者」について簡単に解説させていただきます。

「リスク所有者」とは、「JIS Q 27001:2014(解説)」にもあるように、旧規格(JIS Q 27001:2006)の「A.7.1.2 資産の管理責任者」と同じ訳と記載されています。
※JIS Q 27001:2006 A.7.1.2 資産の管理責任者
『情報及び情報処理施設と関連する資産のすべてについて,組織の中に,その管理責任者を指定しなければならない。』

そして、JIS Q 27001:2014では、「リスク所有者」と「資産の管理責任」との関係を示すため、「A.8.1.2 資産の管理責任」に注として、以下のように示されています。
『6.1.2 及び6.1.3では,情報セキュリティのリスクを運用管理することについて,責任及び権限をもつ人又は主体をリスク所有者としている。
情報セキュリティにおいて,多くの場合,資産の管理責任を負う者は,リスク所有者でもある。』

ちなみに、JIS Q 27000:2014では、「リスク所有者」を以下のように定義しています。
※2.78 リスク所有者(risk owner)
『リスク(2.68)を運用管理することについて,アカウンタビリティ及び権限をもつ人又は主体。』

以上を整理すると、「リスク所有者」=「資産の管理責任を追う者」≒「旧規格の資産の管理責任者」となります。
このことから、サンプル文書では、「リスク所有者」として、「情報セキュリティ委員長」を記載しております。

情報セキュリティ委員長が誰かにもよりますが、「リスクが顕在化したときに責任を取る人」と考えることもできますので、”会社のトップ”や”情報セキュリティのトップ”など責任を取れる人(経営層など)が一般的だと思います。