|
|
|
ISMSの構築について(ISO/IEC27001/JISQ27001) 3/10 |
資産目録
リスクアセスメントの流れ
 |
ISO/IEC27001:2005/JIS Q 27001:2006規格要求事項(以下、「規格要求事項」とします。) では、箇条 4.2.1において、リスクアセスメントの流れを示しており、まず、資産、及び資産の管理責任者を特定することとしています。
また、管理策A.7.1.1「資産目録」において「すべての資産は明確に識別し、重要な資産すべての目録を作成し、維持しなければならない。」としております。
管理策「資産目録」の作成作業が、リスクアセスメントの最初の作業に当たりますので、リスクアセスメントの説明に先立ち、「資産目録」の作成を説明しておきます。
なお、規格では「資産」としていますが、ここでは「(情報)資産」として表しております。(※下段「注意」欄参照)
「資産目録」の中に何を記載するかは、目録の作成・維持管理の方法や具体的なリスクアセスメント手順を鑑み検討していただきたいと思いますが、関連する事項は次の通りです。
| 要求事項 |
箇条 |
| 1 |
すべての(情報)資産を明確に識別する |
A.7.1.1 |
| 2 |
(情報)資産、管理責任者を特定する |
4.2.1 d)1) |
| 3 |
情報資産※全てについて、管理責任者を指定する |
A.7.1.2 |
| 4 |
重要な(情報)資産の全ての目録を作成し維持する |
A.7.1.1 |
| 5 |
情報資産※の利用の許容範囲に関する規則を明確にし、文書化する |
A.7.1.3 |
| 6 |
(情報)資産に対する脅威を特定する |
A4.2.1 d)2) |
| 7 |
脅威がつけ込むかもしれないぜい弱性を特定する |
A4.2.1 d)3) |
| 8 |
機密性、完全性、可用性の喪失がそれらの(情報)資産に及ぼす影響を特定する |
A4.2.1 d)4) |
| 9 |
情報は、組織に対しての価値、法的要求事項、取扱いの慎重度合い及び重要性の観点から分類する |
A.7.2.1 |
| 10 |
情報のラベル付け及び取扱いは、分類体系に従って実施する |
A.7.2.2 |
全ての(情報)資産を明確に識別する、とありますので、まずは、(情報)資産の洗い出しが必要となります。重要な(情報)資産の漏れ無くリストアップされるようにするために必要な作業です。
具体的にどのようなものがあるかについては、JISQ27002:2006(ISO/IEC27002:2005)の7.1.1、及び、規格要求事項の中で「参考 リスクアスメントの方法の例については、TR X 0036-3による。」とありますので、この中に記載されている例を参考にすると良いでしょう。
| TR X 0036-3:2000 (ISO/IEC TR 13335-3:1998) |
| 例えば、資産の種類は次のものがある。 |
| |
-情報/データ(例えば、支払いの詳細を含んだファイル、製品情報など)
-ハードウェア(例えば、コンピュータ、プリンタなど)
-アプリケーショ運を含むソフトウェア(例えば、テキスト処理プログラム、特別の目的のための開発されたプログラムなど)
-通信設備(例えば、電話、銅線、ファイバーなど)
-ファームウェア(例えば、フロッピーディスク、CD-ROM、PROMなど)
-文書(例えば、契約書など)
-資金(例えば、ATMなど)
-製造物
-サービス(例えば、情報サービス、計算資源など)
-サービスの信頼と信用(例えば、支払いサービスなど)
-環境設備
-要員
-組織のイメージ |
| ※ISOによって作成されたGMITS(The Guidelines for the management of IT Security:ITセキュリティマネジメントのためのガイド)で、「TR
X 0036-3:2000(ISO/IEC TR 13335-3:1998)」として、日本規格協会にて入手できます。 |
その際に、”管理責任者 (A.7.1.2)”、”利用範囲 (A.7.1.3)”、”分類 (A.7.2.1)”なども含めてリストアップすると良いでしょう。
”管理責任者”は、個人名でなくても役職名でも構いませんし、また、グループ(部課名)でも構いません。(JISQ27001解説)
”利用範囲”は、”場所”の概念と、”業務”の概念があるでしょう。
”分類”については、その分類体系を定めておく必要がありますが、リスクアセスメントの項で示す、機密性、完全性、可用性の評価などを対応させることが考えられます。
すべての(情報)資産の洗い出しを終えたら、その中から、重要な(情報)資産を目録を作成(文書化)することになりますが、「重要な(情報)資産」は前述の”分類”によって抽出できるでしょう。
<注意>
規格の1.適用範囲 1.1一般では、「ISMSは、情報資産を保護し、また、利害関係者に信頼を与えるために設計される。」と言った旨が記載されているものの、実は、規格の中では、「情報資産(information assets)」なる用語の定義はありません。また、規格中では2箇所( 1.1、4.2.1e)2) )でしか使われていません。(見逃していたら済みません。)
規格要求事項の中では、殆どが資産(定義:組織にとって価値のあるもの)として記載されていることに注意が必要です。情報は資産に属する一要素というわけです。
管理策A.7.1.2、A7.1.3 では「情報及び情報処理施設と関連する資産・・・」との表記がありますが、この下線部分が、情報資産の定義に相応しいように思います。
「ISMSは、情報及び情報処理施設と関連する資産(情報資産)を保護する」と解釈しても問題ないであろうと判断し、弊社では、「情報資産=組織にとって価値のある情報及び情報処理施設と関連する資産」と定義して、規格中の「資産」=「情報資産」として扱っています。実際、様々な解説書等で「情報資産」として扱われています。
とりあえずここでは、「(情報)資産」として表しております。
あくまでも、弊社の解釈であり、全ての審査機関・審査員が同様の解釈をすると限りませんのでご注意ください。 |
|
|
|
