引き続き、情報セキュリティマネジメント試験(SG)対策で勉強したことをまとめていく。
コンテンツ
情報資産を特定する
情報資産は「有形資産」と「無形資産」の二つに大きく分類される。
情報セキュリティでは「何を守るか」を明確にすることが大事で、まずは守るべき価値のある情報資産を特定することから始まる。
有形資産の例
- 印刷された紙データ
- サーバーやPCなどのハードウェア
- ネットワーク機器
無形資産の例
- 顧客情報、人事情報、営業情報、知的財産情報などのデータ
- OSやアプリケーションなどのソフトウェア
- 人が保有する資格、技能、経験などの人的資産
情報資産の重要性を明確にする
情報資産と一言に言ってもその数は膨大なものになる。
これらを同じように保護することは現実的に難しいので、重要性の高いものから優先順位をつけてセキュリティ対策を行うことが必要だ。
重要性の明確化は、機密性・完全性・可用性の三つの側面から判断していく。
情報資産の管理方針と管理体制を検討する
火に弱い紙データや、紛失のリスクの高い小型メディアなど、情報資産によって管理のポイントが異なる。
そのため、各情報資産の特性を踏まえた上で、管理方針と管理体制を検討することが必要だ。
情報資産台帳に記載する
管理対象となる情報資産の特定、管理体制の検討と合わせて、情報資産台帳に記載することも必要だ。
台帳の変更、また定期的に内容をレビューし、台帳を常に最新の内容に保つことが求められる。
情報資産台帳には、主に次のような項目を記載する。
書類やファイルの名称、管理者、利用者、記録媒体(紙、HDDなど)、保管場所、保管期間、廃棄、手順書の名称
情報資産のライフサイクル処理
情報資産は、作成から廃棄(受入から返却)までのライフサイクルに沿って管理する必要がある。
情報資産のライフサイクル例
- 調査・作成・受入
情報資産に対し既存の管理方針で管理が可能かを確認する。
場合によっては自部門では管理せず他部門に管理を委託する場合もある。 - 利用範囲の明確化
いつ、どこで、誰が、どの基準で使用できるかを文書化し管理する。 - 保管・バックアップ
管理方針に基づき適切に保管、バックアップを行う。 - 利用
閲覧や複製などの目的、利用の可否や承認者などを検討し文書化する。
また、利用ログも履歴を取り、常に利用状況が把握できるようにする。 - 廃棄・移転・返却
いつ、誰が、何を廃棄・移転・返却したのかを記録する。
特に廃棄については適切な手続きを明確にすることが必要だ。
媒体の管理について
取り外し可能な媒体は、紛失・盗難などの重大なセキュリティ事故に繋がりやすい。
可搬媒体となる情報資産の特定、取扱手順や許可範囲を明確に文書化し、適切に運用することが大切になる。
社員数の多い企業では特に不特定多数の人間が、こういった情報資産にアクセスしやすい環境にあるので、情報資産の管理について適切な管理方法の明文化が必要になってくる。