ISO27001(ISMS)の情報資産とは
2023年2月1日
ISO27001(ISMS)は、情報管理システムにおいてのセキュリティ対策強化基準となる国際規格です。
組織や企業全体で取得することもできますが、事業や部門ごとの取得も可能です。
扱っている情報資産に合わせて最適な適用範囲を検討してからでも取得できるのが特徴です。
ここでは、ISO27001(ISMS)の情報資産に関する内容を解説していきます。
お気軽に今すぐご連絡ください!
ISOの認証取得・更新・スリム化の支援はお任せ下さい!
情報資産とはどんなもの?
ISO27001(ISMS)の情報資産とは、どのようなものが該当するのでしょうか?
情報資産とは、組織や企業が収集する情報であり、個人情報が含まれた顧客情報、製品技術情報などがあります。
簡単に説明すると、会社が持っている情報ということで、従業員の個人情報や履歴書、企業の決算情報や契約書、製品情報なども情報資産です。
情報資産は情報に限らず、保管されているパソコンなどの媒体やシステムも同様に該当します。
そのため、情報資産はデータに限定される書類からハードウェアなど様々な形態で存在しているということですね。
そして、情報資産は一般的に公開されない情報であれば資産価値も高いです。
組織や企業の公式サイトには住所や電話番号、拠点情報や製品情報などが公開されています。
既に公開されている情報に関しては誰もが知ることができるものなので、資産価値として高いものではありません。
その一方で、組織や企業にとって資産価値のある情報に関しては、情報セキュリティでの保護対象となり、組織・企業が保有する情報資産となります。
情報資産に該当するものは?
ISO27001(ISMS)の情報資産は、組織や企業にとって価値があるもの、そして情報そのものと記録されている媒体も情報資産に該当することがわかりました。
これらは組織や企業にとってとても大切なものであり、情報の取り扱いには十分な注意が求められます。
それではこで、情報資産に該当するものを一部紹介しますね。
・組織や企業の経営状態が把握できる財務情報
・個人情報を含む顧客の名前や住所、電話番号やクレジットカード情報、注文履歴などの顧客情報
・得意先や仕入れ先、販売先などの記録
・生産計画や製品の設計図面、作業手順、仕様書、部品表などの製品や技術情報
・事業契約、経営状況、新製品情報、情報セキュリティなどの戦略情報、企業間契約書などの書類
・個人情報を含む従業員の情報、人事情報、従業員個人番号、携帯番号、メールアドレス、住所など
・採用時の応募情報、昇給、給与、勤怠情報
・情報システム、ソフトウェア、社内ネットワーク(パソコン、サーバー、通信機器など)DB、IT技術ノウハウなど
・製品ブランド、企業イメージなどの無形資産
情報資産については組織や企業の分類によって異なりますが、情報と情報システムのどちらかに分類できます。
さらに、音声や映像などの情報は無形資産と有形資産で存在することもありますよ。
情報資産を守るためには?
情報資産は、業務フローを可視化して洗い出すことが必要です。
実際の業務手順に沿って、情報資産リストを確認すると漏れをなくすことができます。
しかし、すべての情報資産を洗い出していくのは大変ですよね。
また、組織や企業が保持する情報資産が変わっていく可能性もあるので、現在守るべき情報資産をピックアップしていくことも必要です。
もし、ここで情報資産を適切に管理できないとリスクが生じる恐れがあります。
例えば、デジタル化された情報は情報漏洩やサイバー攻撃、内部不正の脅威などの危険性が考えられます。
ちなみにサイバー攻撃とは、外部から機密情報を抜き取ったり、書き換えたり、障害を与えたりすることで、内部不正とは、会社内部の人が機密情報の漏洩、不正アクセス、情報の盗難や改ざんなどを行うことを言います。
サイバー攻撃に関しては、いつ標的になってもおかしくない状態です。
これは組織や企業の大きさや知名度に関係なく、インターネットを通じているだけで起こり得る可能性があるのです。
ISO27001(ISMS)では、組織や企業の情報資産を管理するために、情報資産の価値による分類やラベリング、目録などでの整理が最適です。
また、情報資産は、同じ組織や企業であっても部署や部門によって異なる場合があります。
人事部や経理部などの業務分類、請求書や社員名簿などの情報資産名、部署または担当者など利用できる範囲の他に管理責任者や管理部門などの管理項目を作ります。
書類、データなど媒体の種類、社内サーバーやモバイル機器、クライアントPCなどの保存先、個人情報の有無、保存期間、登録日や更新日などを管理項目に含めておくと分かりやすくなります。
さらに重要なのが、機密性・完全性・可用性の評価値です。
最も重要度評価の高い機密性でも、極秘、部外秘などのレベル付けで情報資産を守れるようにするのが大切ですね。
最後までご覧いただき、ありがとうございます。
適当にISO27001(ISMS)の構築、運用してしまうと、せっかく労力をかけ、時間をかけて作った仕組みが上手く機能せず、貴重な情報資産を漏洩したり、壊してしまったり、アクセスできなくなってしまったり・・・
お客様へも、社内へも大変な迷惑をかけてしまい、信用を失ってしまうかもしれません。
当社では経験が豊富で、あなたの会社の課題を解決できるようISO27001(ISMS)の取得、運用を支援するコンサルタントが揃っています。
当社の経験豊富なコンサルトなら、会社の情報資産を適切に管理してサポートいたします。
ご興味のある方は今すぐこちらまでご相談を!
フリーダイヤル 0120-549-330
関連記事
2021年12月14日 ISO27001とプライバシーマークの違い
2021年10月26日 ISO27001(ISMS)の要求事項ポイント
2021年8月17日 難易度高め? ISO27001(ISMS)の取得方法と流れ
2021年7月13日 ISO27001とISMS認証の違いとは? わかりやすく簡単に解説する
2023年2月1日 日本で取得できる情報セキュリティ認証の種類と特徴
2022年6月14日 IT系企業なら取り組みたいISO27001の取得を支援しました
2022年2月8日 意味がない?ISO27001取得の必要性とメリット
2023年2月1日 ISO27001(ISMS)更新審査のポイント
