情報資産を把握するための情報資産管理台帳による一元管理
まず、守るべき情報資産を明らかにする必要があります。
それは、情報セキュリティは、情報資産の機密性、可用性、インテグリテイを確保することを
目的としているためです。
まず、社内あるいは企業グループ内の至る所に存在し、どのような情報資産があるのかを情報
セキュリティ担当部門が中心となって社内各部門に情報資産を把握させます。
そのため、一元的に管理するために情報資産管理台帳を作成するのです。
情報セキュリテイ担当部門の指示に従って、各部門では、情報資産を把握します。
この際に「言われたから情報資産を把握する」という非協力的な態度ではなく、
重要な仕事なのだという意識をもって、情報セキュリティを確保するため協力してゆくことが
大切です。
部門全体として情報資産を把握するように、特に各部門長は、部内の社員などを指導すること
が肝要です。
注意しなければならないことは、情報資産の洗い出しを行なう際に厳密過ぎないということで
す。
真面目な社員であるほど、このような落とし穴にはまってしまうケースが発生します。
例えば、顧客リストを例に挙げて考えてみましよう。
○○年4月分の顧客リスト、5月分の顧客リスト…のように月次に細分化して情報資産管理台帳
に記載すると情報資産の分量が膨大になってしまい、業務負荷が増大し結果として、情報資産
管理台帳の更新を行なわなくなってしまうため顧客リストというように帳票の種類で捉えるこ
とが重要です。
情報資産管理台帳は、まめに確認しなければ意味がない
「作成すれば、それで終わり」というものでは、情報資産管理台帳はありません。
あくまでも情報資産管理台帳の作成が情報セキュリティのスタートになるだけで、
守るべき情報資産を明らかにしたものが情報資産管理台帳なので、
現状、情報資産がどのような状態にあるのか、それが、あるべき場所、例えば、サーバやキャ
ビネットなどだったり、あるべき方法、例えば、パスワード保護、暗号化、施錠などで保護さ
れているかどうかを定期的に確認しなければ意味がありません。
したがって、情報セキュリティ担当部門をはじめ、各部門長は情報資産を適切に取り扱うよう
に、社員などを監督・指導することや、
情報資産管理台帳を日ごろから活用してゆくことが大切です。
不要になった情報を適切に廃棄するためにも保存期限の明確化は必要なため、情報資産管理台
帳によって、情報資産の保存期限を明確にしておくことで、データ容量や保存スペースの削減
にもつながるため日ごろから明確化しておくことは重要です。
まとめ
この情報資産台帳を作成する上での大事なことは、「全てを網羅しようとしないこと」です。
取り掛かりは、まずは分かる範囲で記載していき、徐々に充実させていけばいいのです。
こうして作られた情報資産台帳は、ISMS(情報セキュリティマネジメントシステム)をはじ
めとする各種監査では必ず提示を求められるため、完成した情報資産台帳は、最低でも1年に1
回の見直しを行うことが必要です。