ISMSやPマークを取ろうとしたら、どこもまず最初に「現在保有している情報資産の洗い出し」をやりますよね。
で、認証取得後ですが、情報資産は当然増えたり減ったりします。
皆さんの会社では、増減をリアルタイムで把握するようにしていますか?
それとも、定期的に洗い直しをしていますか?
うちの会社は購買部門がISO事務局とも重なっていますので、
会社備品として購入した情報資産はリアルタイムで台帳に載せることが出来ます。
しかし、仕事の都合で、一時的に顧客から借りてきたような情報資産の場合はそうはいきません。
入口で身体検査をするわけにもいかないので、
借りてきた人から申告してもらうルールになっていますが、
ホントにここまでして把握してなきゃいけないのか疑問です。
わたしとしては、「一時的な借用情報資産」は、事務局で管理している台帳とは
別にして、現場で管理してもらうようにしたいと思っています。
今はオフィスが一か所だからなんとか目が届いていますが、
もう少し大きな会社だったら、こんなやり方が通用するとは思いません。
皆さんの会社ではどうでしょう?
で、認証取得後ですが、情報資産は当然増えたり減ったりします。
皆さんの会社では、増減をリアルタイムで把握するようにしていますか?
それとも、定期的に洗い直しをしていますか?
うちの会社は購買部門がISO事務局とも重なっていますので、
会社備品として購入した情報資産はリアルタイムで台帳に載せることが出来ます。
しかし、仕事の都合で、一時的に顧客から借りてきたような情報資産の場合はそうはいきません。
入口で身体検査をするわけにもいかないので、
借りてきた人から申告してもらうルールになっていますが、
ホントにここまでして把握してなきゃいけないのか疑問です。
わたしとしては、「一時的な借用情報資産」は、事務局で管理している台帳とは
別にして、現場で管理してもらうようにしたいと思っています。
今はオフィスが一か所だからなんとか目が届いていますが、
もう少し大きな会社だったら、こんなやり方が通用するとは思いません。
皆さんの会社ではどうでしょう?
|
|
|
|
コメント(13)
ジェンカさん、はじめまして!
WIDEROADともうします。
「情報資産台帳」が何のためにあるのでしょうか?
そうなんですね。社内や組織にどんな情報資産があるか洗い出して
CIAを分析して、どんな処置をしていて、どのぐらいの残留リスクが
あるか明確にするためだと思いますよ。
書かれています、一時的な借用品については、事前に想定して分類
しておかなければ、組織としてリスクになると思いますよ。
あまりISMSで管理はしていないと思いますが、人材派遣業等ですと
人の力量が資産になるケースもあります。
このような資産が、風邪を貰い受けて(借用して)資産価値が変わると
サービス提供できなくなるようなケースも出てきます。
有形、無形を問わず、組織の危機管理の手法として、どのような情報
資産がありうるか? で考えて見ると面白いですよ。
ゲーム会社等のイメージを優先する企業ですと社会的ポジション等を
資産と捉えているケースも存在しています。
脱線して失礼しました。
WIDEROADともうします。
「情報資産台帳」が何のためにあるのでしょうか?
そうなんですね。社内や組織にどんな情報資産があるか洗い出して
CIAを分析して、どんな処置をしていて、どのぐらいの残留リスクが
あるか明確にするためだと思いますよ。
書かれています、一時的な借用品については、事前に想定して分類
しておかなければ、組織としてリスクになると思いますよ。
あまりISMSで管理はしていないと思いますが、人材派遣業等ですと
人の力量が資産になるケースもあります。
このような資産が、風邪を貰い受けて(借用して)資産価値が変わると
サービス提供できなくなるようなケースも出てきます。
有形、無形を問わず、組織の危機管理の手法として、どのような情報
資産がありうるか? で考えて見ると面白いですよ。
ゲーム会社等のイメージを優先する企業ですと社会的ポジション等を
資産と捉えているケースも存在しています。
脱線して失礼しました。
「ブランド」も立派な資産ですね。
でもそれって「情報資産」なんだろうか・・・?
もちろん、「借用情報資産」という分類はありますよ。
ただ、それは分類として「その類の情報資産が社内にある」ということを
認識しているというだけであって、
個別の管理までは踏み込んでいません。
会社の備品としてのPCは、情報資産台帳には「会社備品PC」と書いた上で、
別途個別の管理台帳があります。
(情報資産台帳には、分類を書くだけでいいですよね?
個別の情報まで書いたらとんでもない量になりますからね。)
借用情報資産についても、事務局側で個別管理をすべきなのか、
個別管理は現場(借りてきた人)に任せちゃっていいものか、悩んでいます。
でもそれって「情報資産」なんだろうか・・・?
もちろん、「借用情報資産」という分類はありますよ。
ただ、それは分類として「その類の情報資産が社内にある」ということを
認識しているというだけであって、
個別の管理までは踏み込んでいません。
会社の備品としてのPCは、情報資産台帳には「会社備品PC」と書いた上で、
別途個別の管理台帳があります。
(情報資産台帳には、分類を書くだけでいいですよね?
個別の情報まで書いたらとんでもない量になりますからね。)
借用情報資産についても、事務局側で個別管理をすべきなのか、
個別管理は現場(借りてきた人)に任せちゃっていいものか、悩んでいます。
ジェンカさん、こんにちは!
WIDEROADです。
上記の『ブランド』は非常に大事な資産です。ここが管理できなくて風評で
倒れた企業もたくさんあるのは事実です。
ただし、組織によりますのでどのように取り扱うかは、経営層がリスクに
応じて判断すればよいと思います。
上記の『借用情報資産』ですが、その情報資産の持っているリスクに応じた
管理がさえていれば良いと思います。
経営層がどこまで理解しているかは別として、リスクアセスメント結果を
何らかの形で承認しているので、事故が起こった場合は、すべて経営層の
責任といえると思います。
経営層が、そのリスクを認識して、残留リスクを許容しているのなら、なんら
問題は無いでしょう!
すなわち、経営層が責任を取ればよい話です。
したがって、万一のときに経営層が責任を取れる範囲のリスクなら、放置
しておいてよいですが、経営層が責任を取れないようなら、管理レベルを
あげる必要があるといえます。
情報セキュリティマネジメントシステムの運用を行っていて、事故が起こる
場合は仕組みはありましたが、許容していたので起こりました。
うちの認識が低く、ハードルに問題が有りましたと経営層が発言するしか
無いような気がしています。
脱線して失礼しました。
WIDEROADです。
上記の『ブランド』は非常に大事な資産です。ここが管理できなくて風評で
倒れた企業もたくさんあるのは事実です。
ただし、組織によりますのでどのように取り扱うかは、経営層がリスクに
応じて判断すればよいと思います。
上記の『借用情報資産』ですが、その情報資産の持っているリスクに応じた
管理がさえていれば良いと思います。
経営層がどこまで理解しているかは別として、リスクアセスメント結果を
何らかの形で承認しているので、事故が起こった場合は、すべて経営層の
責任といえると思います。
経営層が、そのリスクを認識して、残留リスクを許容しているのなら、なんら
問題は無いでしょう!
すなわち、経営層が責任を取ればよい話です。
したがって、万一のときに経営層が責任を取れる範囲のリスクなら、放置
しておいてよいですが、経営層が責任を取れないようなら、管理レベルを
あげる必要があるといえます。
情報セキュリティマネジメントシステムの運用を行っていて、事故が起こる
場合は仕組みはありましたが、許容していたので起こりました。
うちの認識が低く、ハードルに問題が有りましたと経営層が発言するしか
無いような気がしています。
脱線して失礼しました。
さそり道人さん
ジェンカさん
おはようございます。
大袈裟な話ですが、この業務で担当する仕事はかなり経営者に近いと思いますよ。僕は仕事柄、経営者に苦言を呈するのが仕事ですので、危機管理を含めて伝える責任を痛感しています。
僕がサラリーマンが出来ない理由はこれなんでしょうね。
僕がジェシカさんの立場なら、全国を内部監査で回って状況を確認した上で考えようと思いますよ。
情報セキュリティマネジメントシステムは広範囲から活用出来る規格ですので、危機管理、業務改善には最適と思っています。
この規格を使って会社をチェンジしたいものですね。(最近では情報セキュリティで後継者問題の話をよくしています)
ジェンカさん
おはようございます。
大袈裟な話ですが、この業務で担当する仕事はかなり経営者に近いと思いますよ。僕は仕事柄、経営者に苦言を呈するのが仕事ですので、危機管理を含めて伝える責任を痛感しています。
僕がサラリーマンが出来ない理由はこれなんでしょうね。
僕がジェシカさんの立場なら、全国を内部監査で回って状況を確認した上で考えようと思いますよ。
情報セキュリティマネジメントシステムは広範囲から活用出来る規格ですので、危機管理、業務改善には最適と思っています。
この規格を使って会社をチェンジしたいものですね。(最近では情報セキュリティで後継者問題の話をよくしています)
ジェンカさん おじゃまします。
情報資産台帳(目録ともいいますね)の作成はリスクアセスメントの手順のひとつと考えています。
なんのために資産台帳が必要なのかというとリスクを特定して評価するためのものだと思います。
ISO27001で重要なことは情報を活用する上でのリスクに対して適切な対応をおこなうことですか
ら、何をどれだけ保有しているかの個体管理は必要ないでしょう。どのような特性をもつ資産かが
ポイントだと思います。
一時的にお客様からの借用した資産などは「顧客からの借用したパソコン」として台帳に記載す
れば良いのではないでしょうか。また、リスクアセスメントの一部と考えればリスクアセスメントすると
ころが情報資産台帳の管理をすべきでしょう。
"資産"と"台帳"という言い回しがあるので惑わされてしまいますが、固定資産台帳ではありませ
んよね。その意味では"情報資産目録"というほうが誤解がないかも知れませんね。
もっとも、資産の持ち込み・持ち出し管理は必要ですからそのための管理台帳は別途必要でしょ
う。こちらの台帳は記録として必要ですね。いずれにしても"モノ"の所在管理のような台帳は
ISO27001の要求にはないのでは。
情報資産台帳(目録ともいいますね)の作成はリスクアセスメントの手順のひとつと考えています。
なんのために資産台帳が必要なのかというとリスクを特定して評価するためのものだと思います。
ISO27001で重要なことは情報を活用する上でのリスクに対して適切な対応をおこなうことですか
ら、何をどれだけ保有しているかの個体管理は必要ないでしょう。どのような特性をもつ資産かが
ポイントだと思います。
一時的にお客様からの借用した資産などは「顧客からの借用したパソコン」として台帳に記載す
れば良いのではないでしょうか。また、リスクアセスメントの一部と考えればリスクアセスメントすると
ころが情報資産台帳の管理をすべきでしょう。
"資産"と"台帳"という言い回しがあるので惑わされてしまいますが、固定資産台帳ではありませ
んよね。その意味では"情報資産目録"というほうが誤解がないかも知れませんね。
もっとも、資産の持ち込み・持ち出し管理は必要ですからそのための管理台帳は別途必要でしょ
う。こちらの台帳は記録として必要ですね。いずれにしても"モノ"の所在管理のような台帳は
ISO27001の要求にはないのでは。
ジェンカさん おじゃまします。
情報資産台帳(目録ともいいますね)の作成はリスクアセスメントの手順のひとつと考えています。
なんのために資産台帳が必要なのかというとリスクを特定して評価するためのものだと思います。
ISO27001で重要なことは情報を活用する上でのリスクに対して適切な対応をおこなうことですか
ら、何をどれだけ保有しているかの個体管理は必要ないでしょう。どのような特性をもつ資産かが
ポイントだと思います。
一時的にお客様からの借用した資産などは「顧客からの借用したパソコン」として台帳に記載す
れば良いのではないでしょうか。また、リスクアセスメントの一部と考えればリスクアセスメントすると
ころが情報資産台帳の管理をすべきでしょう。
"資産"と"台帳"という言い回しがあるので惑わされてしまいますが、固定資産台帳ではありませ
んよね。その意味では"情報資産目録"というほうが誤解がないかも知れませんね。
もっとも、資産の持ち込み・持ち出し管理は必要ですからそのための管理台帳は別途必要でしょ
う。こちらの台帳は記録として必要ですね。いずれにしても"モノ"の所在管理のような台帳は
ISO27001の要求にはないのでは。
情報資産台帳(目録ともいいますね)の作成はリスクアセスメントの手順のひとつと考えています。
なんのために資産台帳が必要なのかというとリスクを特定して評価するためのものだと思います。
ISO27001で重要なことは情報を活用する上でのリスクに対して適切な対応をおこなうことですか
ら、何をどれだけ保有しているかの個体管理は必要ないでしょう。どのような特性をもつ資産かが
ポイントだと思います。
一時的にお客様からの借用した資産などは「顧客からの借用したパソコン」として台帳に記載す
れば良いのではないでしょうか。また、リスクアセスメントの一部と考えればリスクアセスメントすると
ころが情報資産台帳の管理をすべきでしょう。
"資産"と"台帳"という言い回しがあるので惑わされてしまいますが、固定資産台帳ではありませ
んよね。その意味では"情報資産目録"というほうが誤解がないかも知れませんね。
もっとも、資産の持ち込み・持ち出し管理は必要ですからそのための管理台帳は別途必要でしょ
う。こちらの台帳は記録として必要ですね。いずれにしても"モノ"の所在管理のような台帳は
ISO27001の要求にはないのでは。
ジェンカさん おじゃまします。
情報資産台帳(目録ともいいますね)の作成はリスクアセスメントの手順のひとつと考えています。
なんのために資産台帳が必要なのかというとリスクを特定して評価するためのものだと思います。
ISO27001で重要なことは情報を活用する上でのリスクに対して適切な対応をおこなうことですか
ら、何をどれだけ保有しているかの個体管理は必要ないでしょう。どのような特性をもつ資産かが
ポイントだと思います。
一時的にお客様からの借用した資産などは「顧客からの借用したパソコン」として台帳に記載す
れば良いのではないでしょうか。また、リスクアセスメントの一部と考えればリスクアセスメントすると
ころが情報資産台帳の管理をすべきでしょう。
"資産"と"台帳"という言い回しがあるので惑わされてしまいますが、固定資産台帳ではありませ
んよね。その意味では"情報資産目録"というほうが誤解がないかも知れませんね。
もっとも、資産の持ち込み・持ち出し管理は必要ですからそのための管理台帳は別途必要でしょ
う。こちらの台帳は記録として必要ですね。いずれにしても"モノ"の所在管理のような台帳は
ISO27001の要求にはないのでは。
情報資産台帳(目録ともいいますね)の作成はリスクアセスメントの手順のひとつと考えています。
なんのために資産台帳が必要なのかというとリスクを特定して評価するためのものだと思います。
ISO27001で重要なことは情報を活用する上でのリスクに対して適切な対応をおこなうことですか
ら、何をどれだけ保有しているかの個体管理は必要ないでしょう。どのような特性をもつ資産かが
ポイントだと思います。
一時的にお客様からの借用した資産などは「顧客からの借用したパソコン」として台帳に記載す
れば良いのではないでしょうか。また、リスクアセスメントの一部と考えればリスクアセスメントすると
ころが情報資産台帳の管理をすべきでしょう。
"資産"と"台帳"という言い回しがあるので惑わされてしまいますが、固定資産台帳ではありませ
んよね。その意味では"情報資産目録"というほうが誤解がないかも知れませんね。
もっとも、資産の持ち込み・持ち出し管理は必要ですからそのための管理台帳は別途必要でしょ
う。こちらの台帳は記録として必要ですね。いずれにしても"モノ"の所在管理のような台帳は
ISO27001の要求にはないのでは。
ジェンカさん おじゃまします。
情報資産台帳(目録ともいいますね)の作成はリスクアセスメントの手順のひとつと考えています。
なんのために資産台帳が必要なのかというとリスクを特定して評価するためのものだと思います。
ISO27001で重要なことは情報を活用する上でのリスクに対して適切な対応をおこなうことですか
ら、何をどれだけ保有しているかの個体管理は必要ないでしょう。どのような特性をもつ資産かが
ポイントだと思います。
一時的にお客様からの借用した資産などは「顧客からの借用したパソコン」として台帳に記載す
れば良いのではないでしょうか。また、リスクアセスメントの一部と考えればリスクアセスメントすると
ころが情報資産台帳の管理をすべきでしょう。
"資産"と"台帳"という言い回しがあるので惑わされてしまいますが、固定資産台帳ではありませ
んよね。その意味では"情報資産目録"というほうが誤解がないかも知れませんね。
もっとも、資産の持ち込み・持ち出し管理は必要ですからそのための管理台帳は別途必要でしょ
う。こちらの台帳は記録として必要ですね。いずれにしても"モノ"の所在管理のような台帳は
ISO27001の要求にはないのでは。
情報資産台帳(目録ともいいますね)の作成はリスクアセスメントの手順のひとつと考えています。
なんのために資産台帳が必要なのかというとリスクを特定して評価するためのものだと思います。
ISO27001で重要なことは情報を活用する上でのリスクに対して適切な対応をおこなうことですか
ら、何をどれだけ保有しているかの個体管理は必要ないでしょう。どのような特性をもつ資産かが
ポイントだと思います。
一時的にお客様からの借用した資産などは「顧客からの借用したパソコン」として台帳に記載す
れば良いのではないでしょうか。また、リスクアセスメントの一部と考えればリスクアセスメントすると
ころが情報資産台帳の管理をすべきでしょう。
"資産"と"台帳"という言い回しがあるので惑わされてしまいますが、固定資産台帳ではありませ
んよね。その意味では"情報資産目録"というほうが誤解がないかも知れませんね。
もっとも、資産の持ち込み・持ち出し管理は必要ですからそのための管理台帳は別途必要でしょ
う。こちらの台帳は記録として必要ですね。いずれにしても"モノ"の所在管理のような台帳は
ISO27001の要求にはないのでは。
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
ISO/IEC 27000 / ISMS / BS7799 更新情報
-
最新のイベント
-
最新のアンケート
ISO/IEC 27000 / ISMS / BS7799のメンバーはこんなコミュニティにも参加しています
人気コミュニティランキング
- 1位
- mixi バスケ部
- 37865人
- 2位
- お洒落な女の子が好き
- 90064人
- 3位
- 写真を撮るのが好き
- 208310人