イプシロンブログトップつのわ〜るどシンプルBSC

2005年12月24日

あなたの組織はどんな情報を持っているのか?(3)

 印刷や筆記により紙媒体に記録されている情報、ハードディスクやFD、MO、CD−R(W)などに記録されている電子情報などはイメージし易い“情報資産”です。最初のリストアップも、こういった情報が中心となるでしょう。但し、組織のリスクマネジメントの視点からはもう少し周りを見渡さなければなりません。紙の上の情報や電子情報を取り扱い、管理するために必要な設備や周辺環境も“情報資産”の仲間として認識する必要があります。サーバー、パソコン、モデム、ルーター、プリンタ、電話、FAX、コピー機など。また、場合によっては金庫、ロッカー、キャビネット、ラック、空調設備なども考慮すべきかも知れません。更に情報そのものとしての概念も、会話なども含めた音声情報、組織の保有する無形のノウハウ・技術までも包含してイメージされることをお勧めします。
 これから先、どのような方向性で情報セキュリティ体制の構築に取り組むにせよ、『どんな情報を持っているのか?』さえ分かっていなければ“お話しにならない”ことはご理解いただけると思います。“情報(資産)”のリストアップはあくまでも最初の一歩です。次のステップとして資産としての“情報”の価値評価が待っています。この<情報資産価値評価>を経て、本筋のリスクアセスメントへと作業を進行させることになりますが、それらステップについても追々お話しさせていただきます。

 尚、この場では、情報資産の把握から始める手順をご紹介しています。情報セキュリティマネジメントへの取り組みとしては、その適用範囲の設定と(本来ならば)経営の最高責任者による基本方針の決定・表明があるべきでしょう。但し、実際には現状の把握さえ出来ていない段階での“基本方針”にどれだけの説得力があるものか疑問に感じます。形式的なイベントの進行は別に置いておいて、実務としての情報セキュリティをお話ししていきたいと思っています。

イプシロン
posted by イプシロン at 02:35 | 情報セキュリティ | 更新情報をチェックする