ISO27001(ISMS)の情報資産とは
投稿日:2023年2月1日 最終更新日:2024年5月28日
みなさん、こんにちは!
今日のテーマは、『ISO27001(ISMS)の情報資産とは』です。
ISO27001(ISMS)は、情報管理システムにおいてのセキュリティ対策強化基準となる国際規格で、
組織や企業全体で取得することもできますが、事業や部門ごとの取得も可能でなんです。
扱っている情報資産に合わせて最適な適用範囲を検討してからでも取得できるのが特徴です。
今日は、この『ISO27001(ISMS)の情報資産』について、お話ししてみたいと思います。
それでは早速、いってみましょう!
情報資産とはどんなもの?
ISO27001(ISMS)の情報資産とは、どのようなものが該当するのでしょうか?
情報資産とは、組織や企業が収集する情報であり、個人情報が含まれた顧客情報、製品技術情報などがあります。
簡単に説明すると、会社が持っている情報ということで、
従業員の個人情報や履歴書、企業の決算情報や契約書、製品情報などが情報資産になります。
情報資産は、情報に限らず、保管されているパソコンなどの媒体やシステムも同様に該当します。
そのため、情報資産はデータに限定される書類からハードウェアなど様々な形態で存在しているということですね。
そして、情報資産は、一般的に公開されない情報であれば、資産価値も高い傾向にあります。
組織や企業の公式サイトには、住所や電話番号、拠点情報や製品情報などが公開されています。
既に公開されている情報に関しては、誰もが知ることができるものなので、資産価値として高いものではありません。
その一方で、組織や企業にとって資産価値のある情報に関しては、
情報セキュリティでの保護対象となり、組織・企業が保有し、安全対策をするべき、重要な情報資産となります。
情報資産に該当するものとは?
ISO27001(ISMS)の情報資産は、組織や企業にとって価値があるもの、そして情報そのものと記録されている媒体も、
情報資産に該当することがわかりましたね。
これらは、組織や企業にとって、とても大切なものであり、情報の取り扱いには十分な注意が求められます。
それではここで、情報資産に該当するものを一部紹介しますね。
・組織や企業の経営状態が把握できる財務情報
・個人情報を含む顧客の名前や住所、電話番号やクレジットカード情報、注文履歴などの顧客情報
・得意先や仕入れ先、販売先などの記録
・生産計画や製品の設計図面、作業手順、仕様書、部品表などの製品や技術情報
・事業契約、経営状況、新製品情報、情報セキュリティなどの戦略情報、企業間契約書などの書類
・個人情報を含む従業員の情報、人事情報、従業員個人番号、携帯番号、メールアドレス、住所など
・採用時の応募情報、昇給、給与、勤怠情報
・情報システム、ソフトウェア、社内ネットワーク(パソコン、サーバー、通信機器など)DB、IT技術ノウハウなど
・製品ブランド、企業イメージなどの無形資産
情報資産については、組織や企業の分類によって異なりますが、情報と、情報システムのどちらかに分類できます。
さらに、音声や、映像などの情報は、無形資産と有形資産で存在することもあります。
情報資産を守るためには?
情報資産は、業務フローを可視化して、洗い出すことが必要です。
実際の業務手順に沿って、情報資産リストを確認すると、漏れをなくすことができます。
しかし、すべての情報資産を洗い出していくのは大変ですよね。
また、組織や企業が保持する情報資産が変わっていく可能性もあるので、
現在守るべき情報資産をピックアップしていくことも必要です。
もしここで、情報資産を適切に管理できないと、リスクが生じる恐れがあります。
例えば、デジタル化された情報は、情報漏洩やサイバー攻撃、内部不正の脅威などの危険性が考えられます。
ちなみに、
サイバー攻撃とは、外部から機密情報を抜き取ったり、書き換えたり、障害を与えたりすることで、
内部不正とは、会社内部の人が機密情報の漏洩、不正アクセス、情報の盗難や改ざんなどを行うことを言います。
サイバー攻撃に関しては、いつ誰が、標的になってもおかしくない状態です。
これは、組織や企業の大きさや知名度に関係なく、インターネットを通じているだけで、起こり得る可能性があるからなんです。
ISO27001(ISMS)では、組織や企業の情報資産を管理するために、情報資産の価値による、
分類やラベリング、目録などでの整理が最適です。
また、情報資産は、同じ組織や企業であっても、部署や部門によって異なる場合があります。
人事部や経理部などの業務分類、請求書や、社員名簿などの情報資産名、
部署または、担当者など利用できる範囲の他に、管理責任者や管理部門などの管理項目を作ります。
書類、電子データなどの媒体の種類、
社内サーバーやモバイル機器、
クライアントPCなどの保存先、
個人情報の有無、保存期間、
登録日や更新日
などを管理項目に含めておくと、分かりやすくなりますよ。
さらに重要なのが、機密性・完全性・可用性の評価値です。
最も重要度評価の高い機密性でも、極秘、部外秘などのレベル付けで、情報資産を守れるようにするのが大切ですね。
以上となりますが、いかがでしたでしょうか。
情報資産の重要性を理解しないままに、ISO27001(ISMS)の構築、運用してしまうと、
せっかく人手をかけ、労力をかけ、時間をかけて作った仕組みが上手く機能せず、
重要な情報資産の安全管理が不十分なため、漏洩したり、壊してしまったり、アクセスできなくなってしまったりすると、
お客様や、社内へも大変な迷惑をかけてしまい、信用を失ってしまうかもしれません。
当社では経験が豊富で、あなたの会社の重要な情報資産を適切に管理できるよう、
ISO27001(ISMS)の取得、運用を強力に支援できる経験豊富なコンサルタントが揃っています。
会社の情報資産を適切に管理し、お客様に安心してもらえるようなISO27001の仕組みに興味がある方は
*ISOコム株式会社お問合せ窓口* 0120-549-330
当社ISOコム株式会社は各種ISOの新規取得や更新の際のサポートを行っているコンサルタント会社です。
ベテランのコンサルタントが親切丁寧にサポートしますので、気になる方はぜひご連絡下さい。
