• ベストアンサー

ISMS情報資産の洗い出しについて

こんにちわ。 30人程度の小規模な企業に勤務しておりますが、業務上ISMSの取得が必須となりそうなので今回取得を試みる事になりました。 現在、情報資産の洗い出し作業を行っている所なんですが、どこまで掘り下げて洗い出しをすればいいか訳がわからなくなってきました。 今、問題となっているのは原材料や消耗品についてなんですが、例えばA4のコピー用紙やプリンターのトナーカートリッジについては どのように考えればいいのでしょうか? 情報資産の洗い出しを考える際、情報やデータのみを情報資産として考えればいいのかもしれませんが、コピー用紙を使えば、その情報を 印刷して持ち出す事ができると考えると、資産として管理しておくべきなのかというところにたどり着いてしまいました。 この考え方でいくと会社のあらゆるものを資産として考えておかなければいけなくなるような気がします。 また簡単に考えるのであれば、住所録は資産として考え、コピー用紙やトナーなどについては漏洩時のリスク対策として管理するように した方が簡単なような気もします。 みなさんの会社では情報資産の洗い出しについてどのようにお考えなのか教えて頂け無いでしょうか? 宜しくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • osakai---
  • ベストアンサー率41% (21/51)
回答No.3

>要はとりあえず全ての物を洗い出し、その中で要不要の判断をすればいいという事なのでしょうか? そうですね。私がISMSの講習会に参加していた、講師は まずは、考えられるものは全てでしてくださいといってました。 あとは会社がリスクを容認すれば、それはそれでいいのです。 これがあると後々大変だからとか、そういうものはキチンと洗い出して リスク分析して、対策は費用対効果を判断して会社が容認すれば それでいいのです。

bobble
質問者

お礼

相変わらず返事が遅くなりすいません。 面倒だと工程を省かず一歩一歩進んでいきます(笑) ご丁寧にありがとうございました。

その他の回答 (2)

  • osakai---
  • ベストアンサー率41% (21/51)
回答No.2

情報資産の洗い出しをする場合は、情報資産を全て洗いだしてください。 紙であろうが、鉛筆であろうが、USB、CD-R すべて、まずは出してください。但し、紙とかUSBとかは情報が入っているものと入っていな いものではリスクが違いますので、それぞれ情報資産として計上した ほうが、あとあといいです。 まあ、今の段階でそんなことは考えず、思いつくものは全て洗いだししましょう。 ワーキンググループで、その情報資産の一覧を作成して省くものは 省いても結構です。 その作業をしたことが大事なことです。 次のステップで洗い出した情報資産をグループ化してリスク評価する ことになります。 まだまだ先は長いです。

bobble
質問者

補足

お返事遅くなりすいません。 要はとりあえず全ての物を洗い出し、その中で要不要の判断をすればいいという事なのでしょうか?

  • bin-chan
  • ベストアンサー率33% (1403/4213)
回答No.1

> コピー用紙を使えば、その情報を印刷して持ち出す事ができると 考えすぎでしょう。だって「その情報を書き写して持ち出す事ができる」を含めちゃうと筆記具もですよ? 「その情報」そのものが保護対象。 顧客一覧はもちろんのこと、名刺、フロア図(個人の机配置を記載したもの)、内線番号表、PC、個人が作業メモとるノート(紙に記録「した」もの)あたりでしょうかね? 管理方法・使用後の扱い(廃棄等)を明確にリスト化しています。 さらに適宜見直しあり。

bobble
質問者

補足

bin-chan様お返事ありがとうございます。 資産の洗い出しでは「情報そのもの」を保護対象と考えておけばいいって事ですね。 ただ一つ引っかかる事がありまして、ネット等で資産台帳の洗い出しなどのサンプル事例をみるとCDやUSBメモリなども列挙されているものが ありました。 「情報そのもの」と考えると未使用のCD-RやUSBメモリ等は資産として洗い出す必要がないのでしょうか? また、例えばCD-RWのように時には空CD、時には情報が入っているという場合の媒体等についてはどのように考えておけばいいものなのでしょうか? この辺の切り分けを考えているうちに質問内容のような混乱状態に陥ってしまいました・・・。 申し訳ありませんが、ご教授願えますでしょうか?

  1. カテゴリ
  2. ビジネス・キャリア
  3. 職種
  4. コンサルティング

関連するQ&A

  • ISMSの情報資産管理について質問です。

    ISMSの情報資産管理について質問です。 ポータブルHDDなどは情報資産として管理する。 プリンタなどは情報資産として管理しない という前提で ボイスレコーダーは情報資産にあたりますでしょうか?

  • ISMSの認証について

    こんにちは。 ISMSについてのご質問になります。 ISMSの認証についてですが、例えば紙に書かれた個人情報であるとか、 財務情報等を保管している倉庫で認証取得する事は可能でしょうか。 つまり、紙しかないのでPCやネットワークの類は一切無いという事になります。 お分かりの方がいらっしゃいましたら、ご教示ください。 よろしく、お願いいたします。

  • ISMS構築:情報資産のリスク分析と管理策について

    情報資産のリスク分析と管理策について教えてください。 社内のサーバの1つを「ファイルサーバー」として使用しております。 当然のことながら、グループごと、プロジェクトごとといったように設けられたフォルダにアクセス権限が付けられております。 今回情報資産の洗い出しで、ファイルサーバに保管された電子情報のリスク分析で、どう考えたらよいのかわからない事があります。 フォルダへのアクセス権限付与が適正に行われていない、或いは行っていない場合は不正アクセスという脅威にさらされることになるわけですが、このような場合の管理策はどの管理策となるのでしょうか?? A.11.2.1の「利用者登録」はネットワークアクセスの利用者登録と考えているのですが、ファイルサーバへのアクセスもこれに該当すると考えてよいのでしょうか?? 大変お手数をおかけしますが、このあたりの考え方を教えてください。 宜しくお願いします。

  • プライバシーマーク(Pマーク)について

    下記のご質問にお答え頂けますでしょうか。 ご回答よろしくお願いいたします。 1.企業が個人情報を漏洩させてしまうとその事業者が「6カ月の懲役もしくは30万円の罰金」が課せられますが、Pマークを取得している企業が個人情報を漏洩させてしまうと懲役の年数・罰金の金額は軽減されるのでしょうか? Pマークを取得している企業は法的に守られるので、例え個人情報を漏洩させてしまっても罰則が軽減されると聞いたことがありますので。。 2.近年で個人情報を漏洩させて問題になった企業(有名な企業)を教えてください。又、その企業が罰せられた内容も教えてください 3.PマークとISMSの対象ついて Pマークは企業全体が対象で、ISMSはその企業の部署単位で取得可能ですが、審査時に対象となるのは、その部署のメンバーが企業全体の情報資産の管理をしていることを示さなければいけないでしょうか。もし、企業内で複数の部署がISMSを取得していれば、その企業の情報資産の管理が分担されるから部署毎の負担も減るものなのでしょうか? 対象がよく分かりません。。

  • 情報資産管理が簡単にできるソフト(フリー、シェア…

    情報資産管理が簡単にできるソフト(フリー、シェア)を教えてください。 今まで会社でエクセル入力にて管理していた資産情報の管理を、ISMSを取得するにあたり、もっと簡単に管理できるようなソフトを探しています。 社員数は50名ほどですが、再来年くらいには100名程になる予定。現在、社員が使用しているPC情報(今現在インストールされているソフトの状況など)も不明確ですが、個々から情報を収集するにしても、ネットワークが一括管理ができる状況ではない(OSバージョンがHOME、PROとバラバラ)ため、社員にストレスを感じさせず、情報を入手し、それを元に管理表が作成できるソフトを希望します。 エクセルで項目別に落とすことができると尚、嬉しいです。 初心者のため、管理の考え方、もっといい管理方法などもございましたら、アドバイス頂けますと幸いです。どうぞよろしくお願いいたします。

    • 締切済み
    • ISO
  • 情報セキュリティマネジメントシステム(ISMS/ISO 27001/JIS Q 27001)のリスクアセスメントについて

    私の会社では、情報セキュリティマネジメントシステム(ISO 27001:2005)を取得・運用しております。 リスクアセスメントを実施していくにあたって、つじつまが合わないというか困ったことが出てきました。 わかりやすくするため 財団法人 日本情報処理開発協会の 「ISMSユーザーズガイド-リスクマネジメント編-」 http://www.isms.jipdec.jp/doc/JIP-ISMS113-11.pdf を使って運用するものとします。 ユーザーズガイド P32によると リスク値=「情報資産の価値」×「脅威」×「ぜい弱性」 等となります。 そして例えば「受容可能なリスク値」を9未満と決めたとします。 そうすると、P33の表の水色部分において、対策を行うこととなります。 ------------------------ここまでは良いのですが… 弊社では、同じような方式を採用して なおかつ定期的にリスクアセスメントを行うこととしました。 もちろん今までのリスク(ぜい弱性)に対する対策は取ってあるとします。 そうすると、「情報資産の価値」=3以上、「脅威」=3、の資産の場合 「ぜい弱性」がいくつであろうとも、リスク値は9以上になってしまうのです! 自らコントロールできる値は「ぜい弱性」のみですから、 ありとあらゆる対策を取り、ぜい弱性を下げてあったとしても いつまでたっても「受容可能なリスク値」(9未満)を満足できない …というおかしな事になってしまうのです… このユーザーズガイドの点数は、あくまで便宜的な数値、ということはわかっているのですが じゃあどのようにリスクアセスメント手法を直せばいいか、良い方法が思いつきません… うまく運用されている例がありましたらぜひご教示ください!

  • 顧客情報について

    顧客情報が流出したというニュースが流れたりしますが、これは内部のものによる漏洩なのでしょうか?もし内部のものによるものであれば、 データーをコピーとかするのでしょうか? 情報を保持している会社はコピーできないような対策とかされてないのでしょうか?

  • 会社四季報とかどうやって情報を仕入れるのですか?

    会社四季報とかの情報ってどこから入るのですか? 社員も知らないような情報とか載ってますが。 また、帝国データバンクなどの情報って資産から家族構成から趣味まで載ってますよね? 個人情報漏洩にはならないのですか?

  • 会社のPマークやISMSの安全対策でのパスワード管理について

    会社でPマークの事務局の仕事をしています。 安全対策の利用者ID管理書で、PCの利用者IDとパスワードは、システム責任者が管理するようにと書いてあります。 個々の利用しているPCの利用者IDの管理はよいと思いますが、パスワードまで、システム責任者に通知すべきことがよいことでしょうか?。 情報管理の行き過ぎではないかと思っています。ISMSやPマークでの安全管理に詳しい方、ご教授下さい。

  • 償却資産の管理をきちんとしないと固定資産税が高い?

    ネットでいくらか調べたのですが、あまり今回の事例を 表すサイトが見つからなかったので質問させていただきます。 会社で、この度償却資産の管理を行うことになりました。 取得額や簿価、耐用年数などの管理も行っています。 経理などの仕事は初心者です。 業務に取り掛かって初めてわかったのですが、すでに物理的に 廃棄している資産でも市の固定資産税にて毎年申告し続けている 書類を発見しました。 (申告忘れはないようです) これって、毎年無駄な税金を払っているってことですか? 資産の取得額は10万~9千万まで幅広いのですが、 10万くらいの資産も、存在しないものはちゃんと滅失したとして 申請し直した方が節税になりますか?

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する