外部メールサービス(GmailやOCNメール)のメールデータやクラウドサービスに保存されているデータ等の情報資産台帳への記載が必要?
外部メールサービス(GmailやOCNメール)のメールデータや、クラウドサービスに保存されているデータ等に関してですが、情報資産としての価値はあるのですが、それ自体は適用範囲内には存在しません。
こういったデータは、台帳への記載が必要でしょうか。
もし必要な場合、例えば契約した外部レンタルサーバーにてweb公開のためアップロードしているWebサイトのデータ等も記載対象になるという理解で宜しいでしょうか。
「外部メールサービスのメールデータやクラウドサービスに保存されているデータ等」に関してですが、ISMSの適用範囲外であれば、台帳への記載は不要です。
ただ、クラウドサービスを「適用範囲外」と認識されているのであれば、誤りとなります。
データセンターなどに預けると同じ、外部メールサービスクラウドサービスは外部委託となり、そこで取り扱っている情報資産は適用範囲内として取り扱うこと(台帳への記載)が必要となりますので、ご注意ください。
—–
2.58 外部委託する
注記 外部委託した機能又はプロセスはマネジメントシステム(2.46)の適用範囲内にあるが,外部の組織はマネジメントシステムの適用範囲の外にある。
※参考(JISQ27000より引用)
次に「外部レンタルサーバーにてweb公開のためアップロードしているWebサイトのデータ等」に関してですが、「情報資産」となるのであれば、対象となります。
なお、Web上で公開しているものであれば、「情報資産」として価値がどの程度かの問題だと思います。