価値の決定による「重要資産」の扱い
「ISMS-B06 リスクアセスメント管理規程」の中で、
「3.2 資産の評価」 「(3)価値の決定」で、
”機密性、完全性の資産価値が≧4の場合その資産を「重要資産」とする。”と、ありますが、「重要資産」と分類したものは、次の展開として、どのように反映されているのでしょうか?
どこかの帳票に反映させるとか、「重要資産」に基づいて次の作業が伴うことがあるのでしょうか。
次の展開と言うよりも、重要資産についてはセキュリティ対策の対応レベルが、重要資産以外の資産とは異なったルールが規程書などで規定されるとお考え下さい。
例えば、「ISMS-B10 物理的・環境的管理規程」では、以下のように重要資産にのみに適用されるセキュリティ対策のルールが規定されています。
************ 「ISMS-B10 物理的・環境的管理規程」 ************
3.7 資産の移動(A.9.2.7)
パソコンや情報、ソフトウェア等の情報資産は勝手に移動されてしまうと思わぬ事態を招く可能性があり、それらのリスクの低減を行う。
(1) 重要資産については、安全領域以外へ原則として持出し禁止とする。具体的には、3.5項「郊外にある装置のセキュリティ」に準ずること。
***********************************************************
逆に言うと、重要資産でなければそのルールは適用されないことになります。
※注
上記と同じように同規程や他の規程でも、「重要資産については~を行なうこと。」など、重要資産に限定された記述がありますのでご確認下さい。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
