ここでは、情報セキュリティポリシー及びその実施手順を策定するための作業ステップ
①適用する範囲の特定と情報資産の棚卸し
②リスク分析と対応する管理策の決定及び対策基準の作成
③管理策の具体的実装計画と対応する実施手順の作成
のうち、①について説明していきます。
まずはじめに行うのが適用範囲の特定です。
ISMSは一つの企業全体に適用することもできますが、企業の中の特定の組織に対して適用することも可能です。
適用範囲として特定する対象は、事業目的、事業内容、組織体制、対象となる人的リソース(管理職一般社員協働者、派遣社員など)、事業所、情報資産に関連した設備(ネットワーク、ICT機器、PCなど)、外部とのインタフェース(ネットワーク、入退室など)などです。
情報資産の棚卸しは、設定した適用範囲内で行なわれる業務プロセスそのものに着目する必要があります。
業務プロセスは企業や組織によってさまざまですが、人と組織及びプロセス実行に関わる情報システムが連携して実行されます。
この業務プロセスを棚卸ししつつ、実行の過程でインプットされる情報、蓄積、生成される情報及びアウトプットされる情報に着目することで、情報資産の全体像がつかめます。
業務プロセスの中で扱われる情報や、情報を処理、蓄積する情報システム内で失われると事業継続性に重大な影響を及ぼすものを抽出していくことで棚卸しが可能になります。
実際の業務プロセスは複雑で多数のプロセスの集合体です、情報システムもさまざまなものが用いられます。
そのため実際には、業務プロセスや関連する情報システムを分解して個々に棚卸しを実施するのが現実的でしょう。
ただし、情報が処理の過程で複数のプロセスにわたって利用され、処理、蓄積が行なわれるという点について注意が必要です。
例えば、顧客情報は営業システム内で顧客管理に利用されますが、同時にコールセンターなどの顧客管理システムでも利用されます。
顧客情報は紛失あるいは窃取されると、重大なインシデントに繋がります。
そのため、営業システム、顧客管理システムそれぞれが、どのように顧客情報を処理しているかに着目して棚卸しを実施していく必要があるのです。