情報資産洗出し作業で、情報の数量(件数)は把握してないとまずいものなんでしょうか?
情報資産洗出し作業で、情報の数量(件数)を記入するのですが、その数量は必ず把握してないとまずいものなんでしょうか?
とても初歩的な質問なのは承知しておりますが、社内でその時間がないから省けないのかという意見がでてきています。
私としては、数量を把握していないことは、紛失、盗難などされても気がつかない等のリスクにつながると思っています。
結論から申し上げますと、数量を把握していないとまずいと思います。
JIS Q 27001の規格では、件数を把握する旨の要求は具体的に明示はされていませんが、お考えになるように数量を把握していないと紛失、盗難が発生した場合、そのインシデント(事件・事故)に気付かないリスクがありますので数量の把握は必要だと思います。
※情報セキュリティの観点から申しますと、時間が無いからという理由で作業を省くことは非常に危険であり、お勧めする事はできません。