情報資産の列挙方法の例
組織が所有する情報資産をリストアップするにあたり、中小企業規模であれば、全社員を対象に本人が管理する情報資産を列挙してもらうのがベターです。なお、大企業においても、考え方の基本は同じですが、大規模の組織の場合であれば、個人レベルで行う情報資産の洗い出しを、課(係)単位で、代表者の判断のもと課(係)の所有する情報資産を洗い出します。
■ビジネスフローを検討する
列挙の方法としては、ビジネスフローに着目し、個々のプロセスでどういう情報資産が発生するのかを考えます。例えば、インターネット関連のシステム開発を手がける組織の場合、対象とするビジネス機能は、「システム開発」「顧客サポート」「営業」「総務」の4つに分類できます。これらの機能ごとにビジネスフローを検討し、個々のビジネスフロー上で発生する情報資産を列挙します。
■情報資産シートへ列挙する
例えば、「システム開発」の場合、「① 企画、設計」「② 開発」「③ 運用」「④ 管理」「⑤ その他」という流れになるので、システム開発に従事する社員は、個々のビジネスフローの中で発生する情報資産を「情報資産シート」に列挙します。全社が共通して所有する情報資産に関しては、別途セキュリティ委員会で洗出しを行います。
■管理策をチェックする
明らかになった情報資産は、ISO 27001の附属書Aの「管理目的及び管理策」とを関連付けます。一つ一つの管理策をチェックして、関連する情報資産(グループ化されたグループ名)を列挙します。これにより、情報資産にまつわる脅威や脆弱性の分析、最終的なリスク評価を1シートで行えます。