え、コレもアカンのん!?
はじまり
どもども。ぱくさんでございます。
前回「情報セキュリティ対策」のハナシをチョコっとだけさせてもらいました。
今回はその続きで、「そもそも、漏らしてはならない情報資産ってなんなんでしょうね?」
…そんなお話をしたいと思います。
振り返り
あらためまして、「情報セキュリティ」の定義はコレでございます。
情報セキュリティとは、企業の情報資産を狙うさまざまな脅威から、
情報資産の機密性・完全性・可用性(三大要件)を確保すること(注1)
で、「情報資産」、ですが、情報セキュリティマネジメントの標準規格であるISO27001では、
「組織活動において影響を与える、価値がある事象」(注2)
…という定義になっています。
「?」ってなった貴方。そうですね。
コレだとぜんぜん具体的じゃなくて
イメージできないですね(滝汗)
そもそも情報資産とは
まあ変な感じがするかもしれないですが、
一方で、ISOだとこのくらいの書き方しかできないんじゃないかなあ、という気もしております。
なぜなら、「企業にとって価値のある、(重要な、保護しなければならないような)情報」って、
業態とか、社長の考え方とか、政府の方針とか競合他社とか、
まあとにかくそういった一切合財の企業の置かれている環境によって様々に変わりうるんですね。
なので、「漏らしてはならない情報資産」は「皆さんが決める(=情報資産を棚卸しする)」
…というのが一応の答えになります。
★
実は「情報資産の棚卸し」、
ISO27001に則って情報セキュリティマネジメントシステム(ISMS)を構築する場合、
いの一番にやることなんです。
だいたい次の4つに分けて整理することが多いですね。(注2)
①紙・電子媒体:紙の記録・書類・電子データ
②ソフトウェア資産:ソフトウェア関連
③物理的資産:パソコン・サーバ・その他事業継続に欠かせない機器
④サービス・その他無形資産:企業ノウハウ・特許
で、これらを機密性・完全性・可用性の観点から整理して、重み付けをすることで、
重点管理するべき資産を明確にしていく…というのが次のステップになっていくわけです。
はっきりいって…
どうでしょう。
うわあ、めんどくせえ。
そう思った方。いらっしゃいますよね?
っていうか、いま思いましたよね?
大丈夫です。
何年か前、自社の情報資産整理をした時、
私自身もそう思いました(爆笑)
でもね、結局きちんと定義しておかないと、はっきり言って危険なんです。
前回も少し触れましたが、万が一情報漏えいしたとき、その損害は、単純な刑罰や罰金にとどまりません。
すこしでもそのリスクを低減するために、まずは守るべき情報資産をきちんと定義しておく。
情報セキュリティ対策は、個人的には社会的な最低限のたしなみだと思います。
その第一歩、手をこまねいていてはいけませんヨ。
まだまだ話し足りないのですが、今日は一旦このへんで。
おわりに
<今日の名言>
「明日はなんとかなると思うのは馬鹿者だ。
今日でさえ遅すぎる。
賢者は昨日のうちに済ませてしまっている。」
(byクーリー)
ではまた。
<注>
1、引用元:http://www.jnsa.org/ikusei/basis/02_02.html
2、引用元:http://iso-support.com/jyouhou/iso27001.html#jyouhousisan
【セミナーのお知らせ】
皆様の応援が私たちの原動力となります。
ぽちっと押して、応援お願いします♪
ぱ く
最新記事 by ぱ く (全て見る)
- アドラー的な幸福の条件と承認欲求の否定 - 2019年7月15日
- アドラー的な「目的を重視すればあんまり後悔しないよね」っていう話 - 2019年4月15日
- アドラー的なトラウマ対処法のお話 - 2018年12月17日
