「可用性」の評価の有無について
2009/03/15 (2019/09/21)
ISMSサンプル文書集. 2,886 views
「リスクアセスメント管理規程」に以下の文がありますが、
(5) 資産の価値決定
各社員等は、すべての資産に対し、評価する。すべての資産に対して、「機密性」、「完全性」、「可用性」の側面から評価する。
機密性、完全性の資産価値が≧4の場合その資産を「重要資産」とする。
機密性、完全性の資産価値が…
とありますが、なぜここに「可用性」は入らないのでしょうか?
まず、重要資産の定義については、各社の考え方によって異なります。
例えば、業務内容や会社の方針、取扱っている資産などです。
例が少し極端ですが、以下のような考え方もできます。
軍事関係や原子力関係などの国家機密に関わる仕事をしている会社であれば、可用性よりも機密性や完全性に重きを置くことが適切であると考えられます。
逆に、報道関係や救命関係などの即応・迅速性を求められる仕事をしている会社であれば、機密性よりも可用性や完全性に重きを置くことが適切であると考えられます。
これは、あくまでも弊社の考え方です。
会社で検討した結果、可用性も重要であると判断した場合は、可用性を入れられても問題はありません。
業務内容、会社の方針、取扱っている資産などを考慮され、御社の実情に合った重要資産の定義を行って頂きますようお願いいたします。
