情報セキュリティ運営管理規程の「情報のラベル付け」について質問です。
「10 情報の分類」→「10.2 情報のラベル付け及び取扱い」に「ラベリングについては、原則行わない。」と書いていますが、これは「業務上作成&使用のword、excel、pptなど情報資産に分類される書類などのネーミングにルールを設けない」という理解でよろしいでしょうか。
つまり、業務上の情報資産にはISMSの文書管理規程の「COM-B01-1.01-C01」のような文書管理規程を設けないということでしょうか。
ラベリングを行わないということは、ISMSの管理策の違反にならないのでしょうか。
ご質問で指摘されているような特定の“情報資産”を指している訳でなく、あくまで“情報資産”全般に対する分類に関する規定(ルール)となります。
「A.8.2 情報分類」では、“情報”の分類の仕方及び分類に応じて取り扱いについて記述されており、情報の「完全性」「機密性」「可用性」を確保するという観点から、保護が必要かどうか、どの程度の保護策を導入するかを決める必要があります。
情報の重要性は、資産価値、置かれた環境などで異なりますが、情報ごとにその扱いや保護レベルを決めるとなると、コスト面などで現実的でないため、保護レベルが類似した情報をまとめて分類し、一連の管理策を決定しようということです。
一般的に、「機密」「社外秘」などといった分類は、ISMS構築段階で定まってくるかと思います。
組織によっては、更に分類分けを行い、ファイル名や保存場所を含めラベル付けをする必要があるかもしれません。
例えば、大きな被害が想定されると考えられる資産を分類し、アクセス制限や暗号化といった特別な管理策を設定するといった対策を行う必要があるかもしれません。その際は、取り扱う人がその情報資産をどう取り扱わなければならないかを、一目瞭然で分かるようにするにラベル付けを行うことが重要となってきます。
サンプル文書集(B07 情報セキュリティ運営管理規程)では、「10.1 分類の指針」にてリスクマネジメントの時点で「重要資産」の分類を行うのみで、その他の分類(ラベル付け)を行わないと「10.2 情報のラベル付け及び取り扱い」と規定しています。
ちなみに、「B11 通信・運用管理規程」の「8.3 情報の取り扱い手順」の「(4)分類」においても、その旨の記述(青字波線)をしております。
あと、一つの考え方になりますが、以下の定義(ラベル、ラベリング)を前提とし、資産を分類してラベル(名前)付けはするが、原則、資産へのラベリング(シール貼りや押印など)は、資産の重要性(価値)を関係者以外にも明示することになるのでしないとすることも可能です。
(定義)
「ラベル」=分類した資産の名前付け(重要資産、社外秘など)をする。
「ラベリング」=ラベルを資産に貼ったり(シール、背表紙)、押したり(社外秘)して明示する。
