リスクアセスメント管理規程の「8 附属資料(分類コード表)」記載について(2)
「リスクアセスメント管理規程の「8 附属資料(分類コード表)」記載について」
上記の質問の続きです。
同じ資産でも保管形態や設置・保管場所が異なれば別々に洗い出す(例:契約書(紙媒体)と契約書(電子データ))という概念は理解しておりますが、回答によりますと、OSソフトの場合、以下の洗い出しになるということになります。
①OS(種別:ソフト、保管形態:プログラム、設置・保管場所:ハードディスク)
②OS(種別:ソフト、保管形態:プログラム、設置・保管場所:記憶媒体(CD媒体))
③OSの媒体(種別:ハード、保管形態:記憶媒体、設置・保管場所:キャビネット)
※今までは、①と③の洗い出しと認識しておりました
であるならば、
>※1 ソフト(プログラム)は電子データになっているものとして考えています。CDなどからPCインストールされたもの。
とわざわざ注記されている意味が分かりかねます。
ソフト(プログラム)は記憶媒体(CD媒体)という意味ではありません。と言われてる感じがします。
そうではなく、OS等のソフト(プログラム)が入ったCD媒体と、空のCD媒体やバックアップ用のCD媒体は、同じCD媒体形態(記憶媒体)ではあるが中身(プログラムと電子データ)によって取り扱いが異なるということでしょうか。
<OS等のソフト(プログラム)が入ったCD媒体の場合>
上記の①と③
<空のCD媒体やバックアップ用のCD媒体>
③と(種別:情報、保管形態:電子データ、設置・保管場所:記憶媒体(CD媒体))
文章ではうまく伝えられているか不安ですが、ご教授の程よろしくお願い致します。
まず、質問内容が、「資産の洗出し作業」と「洗い出した資産のグルーピング」の2つの作業を混在されているように思われますので、整理させていただきます。
① 資産の洗出し作業
会社が保有する資産(会社にとって価値のあるもの)を全て洗い出す作業。
なお、同じ資産でも保管形態や保管場所が異なるものは、別の資産として洗い出します。
例えば、市販ソフトの場合
a) 市販ソフトCD ⇒ CDに格納されているソフト
b) 市販ソフトCDのインストール先 ⇒ PCのHDなどに格納されているソフト
上記の場合は、同じ市販ソフトでも、ソフトとして物が2つ存在することになります。
よって、a)、b)の2つを、ソフトの資産として洗い出す必要があります。
【使用様式】:ISMS-B06-D01 情報資産台帳.xls
② 洗い出した資産のグルーピング
①で洗い出された資産を、保管形態や保管場所などでまとめグルーピングする作業。
なお、同じ資産であっても保管形態や保管場所が異なる場合は、セキュリティ対策が異なるため、同じグループとしてグルーピングはできない。
例えば、市販ソフトの場合
a) 市販ソフトCD ⇒ CDに格納されているソフト
b) 市販ソフトCDのインストール先 ⇒ PCのHDなどに格納されているソフト
上記の場合は、同じ市販ソフトであっても、保管場所が異なりセキュリティ対策も異なります。
よって、a)、b)の2つを異なるグループとしてグルーピングする必要があります。
ちなみに、前回質問の「8 附属資料(分類コード表)」は、
洗い出した資産のグルーピング時に使用される資料です。
【使用様式】:ISMS-B06-D04 リスクグループ分析対策表(記入例).xls
上記を踏まえた上で今回の質問について回答をさせていただきます。
> 同じ資産でも保管形態や設置・保管場所が異なれば別々に洗い出す(例:契約書(紙媒体)と契約書(電子データ))
> という概念は理解しておりますが、回答によりますと、OSソフトの場合、以下の洗い出しになるということになります。
> ①OS(種別:ソフト、保管形態:プログラム、設置・保管場所:ハードディスク)
> ②OS(種別:ソフト、保管形態:プログラム、設置・保管場所:記憶媒体(CD媒体))
> ③OSの媒体(種別:ハード、保管形態:記憶媒体、設置・保管場所:キャビネット)
> ※今までは、①と③の洗い出しと認識しておりました
a) 資産の洗出し作業の場合
同じ資産であっても物として、3つ存在しますので、①、②、③全てを資産(ソフト)として洗出す必要があります。ちなみに、①、②、③のどれもが盗難されては困りますよね。
そのためには、①、②、③全てを洗出し把握する必要があります。
b) 洗い出した資産のグルーピング作業の場合
同じ資産(ソフト)であっても、保管場所などが異なっており、またセキュリティ対策が異なりますので、違うグループとしてグルーピングする必要があります。
ちなみに、ソフトを全て電子データとして同じサーバに保管しているのであれば、セキュリティ対策は異なりませんので、同じグループとしてグルーピングされても 問題はありません。
上記①は、セキュリティ対策として、破壊・盗難・ウィスル感染などの脅威が考えられますので、アクセス権の設定やPCのID・パスワードやウィルスチェックなどの技術的な対策を講じることになるかと思います。
上記②は、セキュリティ対策として、破壊・盗難などの脅威が考えられますので、記憶媒体(CD媒体)を安全な場所(盗難や破壊されない場所)などに保管するなどの物理的な対策を講じることになるかと思います。
上記③は、セキュリティ対策として、不正に使用されるなどの脅威が考えられますので、キャビネットの施錠、キャビネットをアクセスする人の制限などの物理的な対策を講じることになるかと思います。
> であるならば、
>>※1 ソフト(プログラム)は電子データになっているものとして考えています。CDなどからPCインストールされたもの。
> とわざわざ注記されている意味が分かりかねます。
> ソフト(プログラム)は記憶媒体(CD媒体)という意味ではありません。と言われてる感じがします。
> そうではなく、OS等のソフト(プログラム)が入ったCD媒体と、空のCD媒体やバックアップ用のCD媒体は、
> 同じCD媒体形態(記憶媒体)ではあるが中身(プログラムと電子データ)によって取り扱いが異なるということでしょうか。
> <OS等のソフト(プログラム)が入ったCD媒体の場合>
> 上記の①と③
> <空のCD媒体やバックアップ用のCD媒体>
> ③と(種別:情報、保管形態:電子データ、設置・保管場所:記憶媒体(CD媒体))
まず、「8 附属資料(分類コード表)」での注記は、洗い出した資産のグルーピング時に使用される資料であるとご認識下さい。
グルーピングする場合は、ソフトと記憶媒体ではセキュリティ対策が異なります。
よって、同じグループとしてグルーピングを行なわないように注意・意識をしてもらうために意図的に「注記」としています。
洗い出した資産のグルーピング作業の場合でお話しますと、中身によって異なるのではなく、
セキュリティ対策が異なるとお考え下さい。
中身の資産価値が異なるようであれば、もちろんセキュリティ対策のレベルは異なります。
空のCDには、重要な資産(電子データなど)を無断でコピーされ持ち出される可能性があるかと思います。
また、バックアップ用のCD媒体は、紛失や破壊された場合にバックアップデータが無くなってしいますよね。
(補足)
ご回答させていただいた解説などは、「よくわかる!! 実践リスクアセスメント手法の手引き(ISMS編)」にも記載されていますので、よろしければ、再度、規程書と合せてご確認下さい。
