ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

敷地、建物、部屋の情報資産としての考え方、情報資産一覧表への記載方法について

2021/02/03
ISMS全般.  107 views

物理的セキュリティに関する、情報資産の記載方法、情報資産の洗い出しについて教えてください。

たとえば、工場などの場合、工場敷地と建物があると思います。また、工場建物がA棟、B棟と別れている場合や、A棟が1F、2F、3Fとある場合もあるかと思います。
そのような場合、情報資産一覧表にはどのように記載すればよいのでしょうか。

機密エリアがA棟の1F、2F、3Fにそれぞれ存在します。
工場敷地や建物も情報資産として記載し、リスクアセスメントを実施する必要がありますか。
A棟に機密情報が保管されていると考えると敷地も建物もアセスメントを行う必要があるように思います。

防犯的な考えと情報セキュリティ面とのリスクアセスメントの区別が分かりにくいところもあります。

敷地、建物、部屋の情報資産としての考え方、情報資産一覧表への記載方法についてご説明をお願いできますでしょうか。

まず、前提として、何を情報資産とするかは、組織が決定することになります。
それを踏まえ、「敷地、建物、部屋の情報資産としての考え方」ですが、ご質問にある「工場」なども情報資産とするケースもあります。

まず、「工場」などに該当する安全管理措置は、物理的(主に自然災害など)なもので、資産の「完全性」に関連する対策になるかと思います。

殆どの企業では、「機密情報」からのアセスメントで、「工場」などに関する物理的安全管理措置(入退出管理や施錠や停電など)も網羅されてしまうので、「情報資産一覧表」に登録することはあまりありません。
しかし、以下の様な脅威まで意識する必要がある場合は、費用対効果も意識し(無限に費用をかけられないため)、「工場」なども「情報資産一覧表」に登録しリスクアセスネントを行う必要があるかと思います。

①地震による建物の倒壊 ⇒ 耐震構造の建物にする。
②津波による浸水 ⇒ 堤防の設置や高台への移転
③火災 ⇒ 防火扉の設置、耐火金庫
④テロによる攻撃 ⇒ 車両停止バリアの設置
⑤その他、色々 ⇒ 業務の廃止や保険への加入など

資産  本社ビル
脅威  地震による建物の倒壊
脆弱性 耐震構造ではない
対策  耐震補強工事を行う

以上、ご参考ください。