資産の管理

渋谷修二 (2009年9月14日 17:01) | コメント(0) | トラックバック(0)
第3章 資産の管理

 資産に対する責任
【管理目的】組織の資産の適切な保護を維持するため。
【管理方針】情報資産を適切に保護する為の枠組みを定め維持する。

 資産目録
【要求事項】
 すべての資産を明確に識別し、また、重要な資産すべての目録を作成し維持すること。
【実施管理策】
 情報資産の日々の追加、変更、削除に関する手順
 (1) 新しい情報資産を獲得したら、獲得部門の責任者は情報セキュリティ管理責任者に資産台帳の登録を申請する。
 (2) 新しい資産の関連業務フローをリスクアセスメント手順書に従いメンテナンスする。
 (3) 情報セキュリティ管理責任者は台帳登録する資産の管理項目を決定する。
 (4) 情報セキュリティ管理責任者は、適当な時期に、各部門に対して情報資産の棚卸の実施を指示しなければならない。
 (5) 情報セキュリティ管理責任者は、棚卸の結果を評価し、資産台帳に反映しなければならない。
 (6) 資産が廃棄、移動及び取り扱いの変更によって資産に変更が生じたら、その部門責任者は、情報セキュリティ管理責任者に申請しなければならない。
 (7) 情報セキュリティ管理責任者は、変更を承認する。
 (8) 資産を変更したら、関連する業務フロー、リスクアセスメント及び関連する管理策等一連の見直しを実施する。

 資産台帳の管理項目

img002.jpg

 公開レベルは以下の4通りに分類する。
 (1) 機密:社長及び、経営陣(執行役員含む)又は特定の資産に関与する者のみが利用、閲覧できる情報資産。
 (2) 部外秘:社長、経営陣、情報セキュリティ対象業務に携わる部署及び、情報セキュリティ委員会に属する従業員、社員のみが利用、閲覧できる情報資産。及び、記録文書。
 (3) 社外秘:社内の全ての従業員、社員が利用閲覧できる情報資産。
 (4) 公開:世間一般に認知されている情報及び、セキュリティ対策の必要の無い情報資産。
  ・個人情報:個人情報は公開ではなく、それぞれに極秘、部外秘、社外秘の分類が併記される。

  ・オーナー:資産保有者を定義する。

  ・管理責任者:資産管理責任者を定義する。

  ・取り扱い手順:資産に対する取り扱い手順を定義する。資産台帳には当て順コードを示し、別紙そのコードに応じた詳細手順を記述する。

  ・資産価値:資産に対する、資産オーナーが定めて機密性、完全性、可用性それぞれの価値を記述する。
    機密性価値の定義:情報の信頼性。情報がアクセス権限(公開レベル)を超えてアクセス又は漏洩した場合、業務上問題となったり、製品サービスの信頼性が低下する度合を機密性価値の高さとして表す。
    完全性価値の定義:情報の品質。情報が改ざんされたり、正しくなかったりしたときの、業務上問題となったり、製品サービスの品質が低下する度合を完全性価値の高さで表す。
    可用性価値の定義:情報の生産性。情報アクセスが滞ったり、アクセスできないときの業務上問題となったり、製品サービスの生産性に影響を与える度合を可用性価値の高さで表す。

   2:高い  1:中位  0:低い

  ・保管期限:保管期限又は分類維持期間
  ・更新日
  ・備考
【関連文書】「情報資産管理台帳」(リスクアセスメントツールより)

 資産の管理責任者(オーナー)
【要求事項】
 情報および情報処理施設と関連する資産のすべてについて、組織の中に、その管理責任者(オーナー)を指定すること。
【実施管理策】
 (1) オーナー
 情報のオーナーは、次のものとする。
  ① 情報生成したもの
  ② 情報を顧客などから受領した責任者
 情報処理施設、設備などのオーナー
  ① 組織全体に関わる設備は情報システム部門責任者がオーナーとなる。
  ② 部門毎の機器は、部門責任者がオーナーとなる。
 オーナーの責任
  ① 資産分類レベル(アクセス権限)の設定
  ② 資産価値評価
  ③ 脅威、脆弱性評価
 (2) 管理責任者
 情報の管理責任者は、次のものとする。
  (ア) 情報の管理を委託されたもの
  (イ) 情報を実質的に取り扱うもの
 情報処理施設、設備などの管理責任者
  (ア) 実際に設備等を使用するもの
  (イ) 設備等のメンテナンス等を行うもの

【関連文書】「情報資産管理台帳」(リスクアセスメントツールより)

 資産利用の許容範囲
【要求事項】
 情報および情報処理施設と関連する資産の利用の許容範囲に関する規則は、明確にし、文書化し、実施しなければならない。
【実施管理策】
 (1) 利用の許容範囲は、資産台帳に項目を設けて、資産毎(必要な資産)記述する。
 (2) 社外持ち出しの資産を定める。
 (3) 取り扱えるのが、正社員に限るものを定める。
 (4) 業務以外の使用に関する定め。
 (5) メール利用について制限を定める。
 (6) ホームページ閲覧について制限を定める。
 (7) 携帯電話の利用について制限を定める。

【関連文書】「情報資産管理台帳」(リスクアセスメントツールより)

 情報の分類
【管理目的】情報資産の適切なレベルでの保護を実施するため。
【管理方針】情報のアクセスを保護する為、情報の分類を実施する。

 分類の指針
【要求事項】
 情報は、組織に対しての価値、法的要求事項、取扱いに慎重を要する度合い及び重要性の観点から分類すること。
【実施管理策】
 (1) 公開レベル: 当社の情報を次の4つに分類する。機密い、
  ① 極秘:社長及び、経営陣(執行役員含む)又は特定の資産に関与する者のみが利用、閲覧できる情報資産。
  ② 部外秘:社長、経営陣、情報セキュリティ対象業務に携わる部署及び、情報セキュリティ委員会に属する従業員、社員のみが利用、閲覧できる情報資産。及び、記録文書。
  ③ 社外秘:社内の全ての従業員、社員が利用閲覧できる情報資産。
  ④ 公開:世間一般に認知されている情報及び、セキュリティ対策の必要の無い情報資産。
 (2) 資産形態の分類:

img003.jpg

 (3) 保管場所:資産形態、公開レベル及び資産価値を勘案した,適切な保管場所を定めること。
 (4) 個人情報の識別:情報に個人データが含まれる場合、識別する。
 (5) 資産価値分類
  ① 機密性価値の定義:情報の信頼性。情報がアクセス権限(公開レベル)を超えてアクセス又は漏洩した場合、業務上問題となったり、製品サービスの信頼性が低下する度合を機密性価値の高さとして表す。
  ② 完全性価値の定義:情報の品質。情報が改ざんされたり、正しくなかったりしたときの、業務上問題となったり、製品サービスの品質が低下する度合を完全性価値の高さで表す。
  ③ 可用性価値の定義:情報の生産性。情報アクセスが滞ったり、アクセスできないときの業務上問題となったり、製品サービスの生産性に影響を与える度合を可用性価値の高さで表す。
 (6) 企業秘密の指定との整合:当社の情報に対する企業秘密の指定は、情報セキュリティで定めた公開レベルと、運用上矛盾しない様に注意する。
 (7) 間違った分類の防止:情報の分類を間違うことが無いように、情報資産のオーナーは現在の分類状況を確実に把握し、分類を確実にしなければならない。
 (8) 情報資産分類の割り当て:情報資産オーナーは情報資産に対して、適切な分類を与える責任がある。
 (9) 複数の分類レベルが付けられた情報資産:もし情報資産に複数の分類が与えられると考えられた場合、最も厳しい分類に統一する。
 (10) 機密情報に書き換えられたメディア:書き換え可能な、C、DVD、USBメモリー等が機密情報に書き換えられた場合、確実に再分類されなければならない。
 (11) コンピュータ記憶媒体の分類:複数の分類レベル持つ情報が格納されたコンピュータ記憶媒体に対する分類は、最も重要な分類を反映したものでなければならない。
 (12) 分類レベルを下げた日付:機密情報等の分類を下げた場合、その日付を記録しなければならない。
 (13) 分類レベル変更の実施:情報資産オーナーは、分類レベルを下げた場合、資産台帳の記載を変更し、情報資産管理者に通知する。
 (14) 分類レベル変更の延期:情報資産オーナーは、分類レベルを下げる場合、資産台帳の記載の変更、情報資産管理者への通知が完了するまで、その実施を延期する。
 (15) 分類レベルのレビュー:情報資産オーナーは少なくとも年1回、割り当てられた資産全てについて、分類レベルをレビューしなければならない。
 (16) 重要情報のレベル変更:重要情報のレベル変更は、速やかに実施しなければならない。
 (17) 不可欠さの識別:情報資産オーナーはビジネス継続上、不可欠である情報資産、ソフトウェアを決定しなければならない。

 情報のラベル付け及び取り扱い
【要求事項】
 情報に対するラベル付け及び取扱いに関する適切な一連の手順は、組織が採用した分類体系に従って策定し、実施すること。
【実施管理策】
 情報資産ラベル
 資産台帳に登録された情報資産については、次の通り情報資産番号が付けられるとともに、以下のカテゴリーの情報資産には、各ラベルが付けられることとする。
 ① パソコン(ハード)、什器備品などの器物については、情報資産ラベル(シール)が貼られる。
 ② データファイルなどについては、ファイル名の最初に資産番号がふられる。

 (1) 情報資産番号の採番手順
 資産台帳に登録された情報資産については、次の手順で資産番号が採番される。
 ISMS情報資産番号は、以下のように示すこととする。

img004.jpg

 (2) 情報資産ラベル(シールの形式)
 資産台帳に登録された器物の情報資産については、下記の情報資産ラベル(シール等)が貼られる。

img005.jpg

 (3) ファイルサーバ内の分類
 ファイルサーバ内は次の区画に分類し、アクセス制御を実施する。
 開発:開発用ファイルを格納する。
 営業:営業部門の共有区画
 事務:事務用共有区画
 経営:経営者用の区画

 (4) ファイル命名規則
 業務に使用するファイルは次の規則により命名する。
[部門コード][氏名コード][年月][プロジェクトコード][バージョン]

 資産取り扱い手順

 資産台帳に登録された資産は次の取り扱いに関する手順を定めなければならない。これは別紙資産取り扱い手順一覧にまとめられ、資産台帳の取り扱い手順コードで参照される。

 (1) 取り扱い手順の分類
  ① 電話での会話:情報内容の社内外での電話、社外での会話を禁止する。
  ② 複製
  ③ FAX
  ④ 持ち出し
  ⑤ 廃棄方法
 (2) 取り扱いの対応
  ① 禁止:上記行為が一切禁止される。もし行う場合は、オーナーによるリスクアセスメントに基づく基準の変更を要する。
  ② 承認:上記行為がオ?ナー又はその代行者の承認により行える。
  ③ 可:上記行為はアクセス権限者に許可される。
【関連文書】「情報資産取扱手順一覧」(リスクアセスメントツールより)

トラックバック(0)

トラックバックURL: http://202.133.122.240/cmt/mt-tb.cgi/62

コメントする

検索

このブログ記事について

このページは、渋谷修二が2009年9月14日 17:01に書いたブログ記事です。

ひとつ前のブログ記事は「基本方針及び組織」です。

次のブログ記事は「人的資源のセキュリティ」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。