リスクアセスメントで特定した「重要資産」は、その後の帳票や作業にどう反映されますか?
「ISMS-B06 リスクアセスメント管理規程」の中で、
「3.2 資産の評価」 「(3)価値の決定」で、
”機密性、完全性の資産価値が≧4の場合その資産を「重要資産」とする。”と、ありますが、「重要資産」と分類したものは、次の展開として、どのように反映されているのでしょうか?
どこかの帳票に反映させるとか、「重要資産」に基づいて次の作業が伴うことがあるのでしょうか。
リスクアセスメントにおける「重要資産」の扱いについて、実務的な流れを整理して回答申し上げます。
結論から申し上げますと、「重要資産」の分類は「どの資産に、どこまで厳しいルールを適用するか」という選別の基準として機能します。
1. 帳票への反映とフロー
「重要資産」と判定されたものは、以下の帳票・プロセスへ展開されます。
- 情報資産台帳:
資産価値(C/I/A)の算定結果から自動的に「重要資産」として識別され、リスクアセスメントの次の工程である「脅威と脆弱性の特定」および「リスク値の算定」において、優先的に詳細な分析を行う対象となります。 - リスク対応計画書:
リスク値が高くなった重要資産に対しては、リスク受容(そのままにする)ではなく、具体的な「リスク低減策」を講じる対象としてリストアップされます。
2. 具体的ルールの差別化(例)
重要資産とそれ以外の資産では、適用される「管理策(社内ルール)」に差をつけます。これを「重要資産への特別ルール」として、例えば、以下のように各規程に盛り込んでいます。
| 管理項目 | 重要資産(価値 ≧ 4) | 一般資産(価値 < 4) |
|---|---|---|
| 物理的持ち出し | 原則禁止。許可制かつ暗号化必須。 | 社内規定の範囲で持ち出し可。 |
| バックアップ | 毎日実施。遠隔地保管を推奨。 | 週1回。または必要に応じて実施。 |
| アクセス権限 | 最小権限の原則に基づき厳格に制限。 | 部門単位などの標準的な制限。 |
| 廃棄方法 | 専門業者による物理破壊・証明書必須。 | 通常のシュレッダー処理など。 |
3. なぜ「重要資産」を区別するのか
すべての資産を「最高レベル」で守ろうとすると、コスト(費用・手間)が膨大になり、業務効率が著しく低下します。
- 選択と集中:
「守るべきもの」を明確にし、重要資産には強固な壁を、そうでないものには標準的な壁を設けることで、効率的かつ実効性のあるISMSを実現します。 - 審査時の説明:
審査員からは「なぜこの対策が必要なのですか?」と問われることがあります。その際、「資産価値が4以上の重要資産だからです」という明確な根拠(アセスメント結果)を示すことができます。
4. 運用のポイント
ISMSの目的は「すべての情報をガチガチに守ること」ではなく、「重要な情報を、コストをかけて確実に守ること」にあります。
マニュアルや各規程内を「重要資産」というキーワードで検索してみてください。「重要資産については~すること」という記述が随所に見つかるはずです。それらがまさに、「資産の評価」から「次の展開」として繋がっている具体的なルールです。
まずは「情報資産台帳」にて、どの資産が重要資産になったかをご確認いただき、それらに対して規程どおりの運用がなされているかをチェックするのが実務上の第一歩となります。
