ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

何台もあるパソコンの可用性を評価する場合、うち1台が利用不可能になった場合で評価するのか、それとも全てが利用不可能になった場合で評価するのか?

09.04.2019
ISMS全般.  145 views

資産の評価についてですが、例えばオフィスパソコンの可用性を評価するといった場合、パソコンは何台もあるのですが、そのうち1台が利用不可能になった場合で評価するのか、それとも全てが利用不可能になった場合で評価するのかが分かりづらいです。

また、機密性の評価は、そのPCのローカルに保存されている電子媒体情報の価値も考えて評価するのでしょうか。

例としての「パソコン」で考えると、それ自体に情報資産が入っているのかどうかによっても変わってくるかと思います。

例えば、通常、データはネットワーク上のサーバにあり、パソコン自体が故障(可用性がなくなる)しても、他で代用できるといった場合は、それらのパソコンをまとめて評価することができます。
その中でも、特定のパソコンでしかアクセスできないといったことであれば、そのパソコンへの評価ということになるでしょう。
機密性の評価も同様の考え方となります。

分かりづらいようでしたら、PCを「重要なデータを保管・取り扱っているPC」、「重要なデータを保管・取り扱っていないPC」などと他の条件も付与し情報資産として分けるのも一つの方法だと思います。

なお、PCをただの情報資産を保管する箱として捉えても、最終的には保管されている情報資産(重要データ)の評価で、そのPCのセキュリティレベルは高になるかと思います。
(例えば、登記簿とか社印はセキュリティレベルの高い金庫に保管。)

保管場所のセキュリティレベルは、情報資産の重要度によって変わることもありますので、ご注意ください。
※情報資産の評価は、保管場所の妥当性(見直し)とも関連しています。