ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

「ハード資産の完全性」の評価基準をどう理解すればよろしいでしょうか。

2021/07/20

情報資産台帳記入例で、「机」の完全性の評価が4です。

ISMS認証取得支援ガイドP24の説明によると、「情報の内容を変更された場合、会社全体に影響がでるもの」という解説ですが、机や棚などハード資産の「情報の内容が変更された場合」をどう理解すればいいでしょうか。

可用性の利用不可との区別がうまく理解できません。

指標なので色々な考え方があり、同じ資産やハード、情報などにより同じ指標や異なる指標となるケースがありますので、これが正解はないことを予めご理解ください。

サンプル文書集の場合、指標をある程度固定しているので、全ての資産に当てはまらないや分かり辛いものも出てくると思います。
全ての資産を網羅、合致させることは、パターンも多くなり、難しいため、指標は自分たちに合わせて、ある程度妥協し、カスタマイズされることを推奨します。

それを踏まえ、記入例における情報資産「机」の完全性が4になっている理由としては、例えば「PC(デスクトップ)」「PC(ノート)」等の保管場所が「各自机上」となっているため、その関連上、完全性が必要になってくるとされています。
PCには、それに関連する情報資産の完全性が損なうことを考慮に入れているためです。

これは、「完全性」にて、その正確さや完全さを欠くことで、不利益をもたらす等の事態に繋がる可能性を考慮しているためです。
例えば、ある情報システムに保有している情報が正確であるとは、その情報システムに情報を格納した以降、正確に維持されていることでもあります。

なお「評価が4」についてですが、ISMS認証取得支援ガイドの記載と同じ、評価付けのランクの基準が記載された「リスクマネジメント管理規程」の「3.2資産の評価」の文言である「ランク4:正常に動作しない場合、会社全体に影響がでるもの」に該当するかは、組織によって異なります。

サンプル文書集の記入例では、先述したとおり、情報がPC内部に保存(保存場所)されており、それとの兼ね合いでの完全性4というを示しております。

ちなみに、「可用性」は、認可されたものや人が、情報を使いたいときに使える特性のことで、「利用不可の場合」とは、「使いたいときに使えない」場合のことを指します。
よって、その情報が、認可された人により使いたいときに使えなくても問題ないのであれば、可用性のランクは1ということになります。

1つの考え方として、以下に「パソコン&パソコン内のデータの場合」の事例を示します。指標を考える時の参考にして下さい。

■前提条件:パソコンとデータは別々に考える。
(※パソコン内データの資産価値によりパソコンの資産価値も影響を受けてしまうため。)

◆パソコン

(1)可用性
├悪い:パソコンが1台しかなく他の人が使用していると直には使えない。
└良い:各自にパソコンが支給されおりいつでもパソコンが使用できる。

(2)完全性
├悪い:故障がちで途中で電源が切れてしまったり誤動作をしてしまう。
└良い:最新機種でメンテナンスを定期的に行っており何ら問題なく動作する。

(3)機密性
├低い:量販店などで市販されており機能も含むスペックは一般公開されているので機密性は求められない。。
└高い:自社業務専用に自社のノウハウを反映しカスタマイズされており機能も含むスペックは機密性が求められる。

◆データ

(1)可用性
├悪い:ファイルのフォルダ分けやネーミングのルールが統一化されておらず、該当するファイルを探すのに時間が掛かる。
└良い:ファイルのフォルダー分けやネーミングのルールが統一化されており、該当するファイルを探すのが容易である。

(2)完全性
├悪い:10年前の情報のままで内容がが古い。また、誤記なども多い。
└良い:随時更新されており情報が最新になっている。

(3)機密性
├低い:HPなどで公開されている一般的な情報のみなので誰に見られても問題は無い。
└高い:機微な個人情報も含まれており漏洩すると大変なことになる。