チェック項目にしての情報資産管理状況の管理の限界
情報資産を管理をチェックリスト方式にでおこなう方法があります。
情報資産管理の状況を管理するという方法は、情報セキュリティポリシーや規程をベースにし
て遵守すべき事項をチェック項目にして行う管理方法です。
誰でもチェックリスト方式による管理を使えばわかりやすくなっているため、
情報資産の管理状況、つまり情報セキュリティの確保状況を確かめることができます。
「チェックリストで定めていることだけを遵守すればよい」というようにチェックリストに依
存し過ぎてしまうと、チェックリストで定めた項目の意味を考えずに、チェックリストによっ
て定められた項目を形式的に行うことだけを考えてしまうのです。
これがチェックリスト方式の落とし穴です。
情報セキュリティに関係するリスクを洗い出す方法は、情報資産を取り巻く状況を図に描いて
洗い出す方法です。
例えば、どこにどのようなリスクがあるのかアクセス権付与のプロセスを図に描いて把握すれ
ば、がわかりやすくなります。
また、ネットワーク構成図やシステム構成図を利用して、どのようなリスクがどこにあるのか
を洗い出してもよいでしょう。
サーバには、不正アクセスや障害など、パソコンには、盗難や紛失のリスクがそれぞれありま
す。
そして、外部からのアクセスポイントが存在すれば、不正アクセスやウイルスの侵入といった
リスクがあります。
さらに、紛失・盗難リスクも洗い出すために用いるのが、事務所などの設計図面を活用するこ
とで、これによって、不正侵入のリスクや、紛失・盗難リスク洗い出すことができます。
左脳でリスクを考えるとすれぱ、チェックリストによるリスクの洗い出しで、右脳でリスクを
考えるとすれぱ、リスク図でリスクを洗い出すことになります。
加えて、図を使って危険予知運動(KYT)のトレーニングによって、どのようなリスクがどこに
あるのかを考えさせる方法があります。
これと同じように、情報セキュリティに馴染みのない人でも、情報セキュリティに関係するリ
スクを図で洗い出すようにすれば、その図をもとにリスクが理解しやすくなり、情報セキュリ
ティ対策を納得して実施することができます。
まとめ
業務で利用する電子データや書類を「情報資産管理台帳」に記入します。
記入した情報資産ごとに漏えいや改ざん、誤びゅう(誤記、計算違い)が起きたり、
必要な時に利用できないなど事業に直接影響するものについて重要度を判断し、
また、管理責任のある顧客や従業員の個人情報を識別します。
業種、事業内容、IT環境によって保有する情報資産は異なるため、台帳記入や作成などはサン
プルとなるものが、
インターネット上にいくつもあるため、参考に、自社の情報資産を一通り洗い出すとよいで
しょう。