価値の決定による「重要資産」の扱い
2010/03/17 (2019/09/21)
ISMSサンプル文書集. 3,315 views
「ISMS-B06 リスクアセスメント管理規程」の中で、
「3.2 資産の評価」 「(3)価値の決定」で、
”機密性、完全性の資産価値が≧4の場合その資産を「重要資産」とする。”と、ありますが、「重要資産」と分類したものは、次の展開として、どのように反映されているのでしょうか?
どこかの帳票に反映させるとか、「重要資産」に基づいて次の作業が伴うことがあるのでしょうか。
次の展開と言うよりも、重要資産についてはセキュリティ対策の対応レベルが、重要資産以外の資産とは異なったルールが規程書などで規定されるとお考え下さい。
例えば、「ISMS-B10 物理的・環境的管理規程」では、以下のように重要資産にのみに適用されるセキュリティ対策のルールが規定されています。
************ 「ISMS-B10 物理的・環境的管理規程」 ************
3.7 資産の移動(A.9.2.7)
パソコンや情報、ソフトウェア等の情報資産は勝手に移動されてしまうと思わぬ事態を招く可能性があり、それらのリスクの低減を行う。
(1) 重要資産については、安全領域以外へ原則として持出し禁止とする。具体的には、3.5項「郊外にある装置のセキュリティ」に準ずること。
***********************************************************
逆に言うと、重要資産でなければそのルールは適用されないことになります。
※注
上記と同じように同規程や他の規程でも、「重要資産については~を行なうこと。」など、重要資産に限定された記述がありますのでご確認下さい。
