情報資産管理は、情報セキュリティに対する管理策を実行するための基礎となる管理策です。
情報資産の特定がなされていないと、その管理策を具体的かつ確実に実施することが難しくなってしまいます。
情報資産の中には、情報システムを構成し、固定資産、備品といった形で管理される物理的な資産と情報そのものがあります。
いずれもその資産を特定し、その資産の管理者、利用者、利用範囲などを資産の目録として管理することが求められます。
資産管理の管理策
資産に対する責任
資産目録
- 情報及び情報処理施設に関する資産を特定しなければならない。また、これらの資産の目録を作成し、維持しなければならない
資産の管理責任
- 目録の中で維持される資産は、管理されなければならない
資産利用の許容範囲
- 情報の利用の許容範囲、並びに情報及び情報処理施設と関連する資産の利用の許容範囲に関する規則は、明確にし、文書化し、実施しなければならない
資産の返却
- すべての従業員及び外部の利用者は、雇用、契約または合意の終了時に、自らが所持する組織の資産のすべてを返却しなければならない
情報の分類
情報の分類
- 情報は、法的要求事項価値、重要度、及び認可されていない開示または変更に対して取り扱いに慎重を要する度合いの観点から、分類されなければならない
情報のラベル付け
- 情報のラベル付けに関する適切な一連の手順は、組織が採用した情報の分類体系にしたがって策定し、実施しなければならない
資産の取り扱い
- 資産の取り扱いに関する手順は、組織が採用した情報分類体系にしたがって策定し実施しなければならない
PC、サーバー、ルーターといったシステムを構成するハードウェアの他、ネットワーク設計・設定情報、アクセス管理ポリシーと対応する管理表なども情報システムの資産管理に含まれます。
パッケージソフトなどの資産にも資産管理が、ソフトウェアの場合はライセンス管理がそれぞれ必要です。
これらの資産には必ず所有者が対応し、基本的にはこの所有者が所有する資産の情報セキュリティオーナーとして管理責任を負うことになります。
ネットワーク構成図やアクセス管理リストの整備も必要です。
これがなされていない場合にインシデントが発生すると、被害範囲の特定が困難になってしまいます。
ネットワーク管理の基本情報としての資産情報の維持管理が重要になるのです。
もう一つの重要な情報資産は、情報そのものです。
組織の中で、必要な情報はできるだけ共有する必要がありますが、管理が不適切であれば情報漏えいに繋がります。
情報そのものの資産管理を行う上では、その情報がどの程度重要で、どの範囲で供されることが許されるか、利用期限はいつかなどという情報分類に基づいて管理される必要があるのです。
これらの判断を下す責任者はその情報の所有者です。
情報分類にあたって、その情報の所有者が誰であるのかを明示する必要があるのです。
このような分類をされていない情報は、重要な製造秘密や営業秘密であっても、法的には秘密と見なされない恐れがあります。
情報漏えいが発生したとしても、管理されていない情報であれば、法的手段をとることもできなくなる恐れがあるのです。
関連記事
情報セキュリティの人的・組織的対策① 組織の構造と情報セキュリティ
情報セキュリティの人的・組織的対策⑤ 法的、契約上の要求への対応
情報セキュリティの人的・組織的対策⑥ 人的資源の情報セキュリティ
情報セキュリティの人的・組織的対策⑦ 人的資源に対する管理策
情報セキュリティの人的・組織的対策⑧ 供給者関係の情報セキュリティ