イプシロンブログトップつのわ〜るどシンプルBSC

2005年12月10日

あなたの組織はどんな情報を持っているのか?(2)

『どんな情報を持っているのか?』を把握するためには、まず下調べの作業が必要です。実際オフィスのあちらこちらに保管されている書類や、各スタッフが使用しているPC、組織全体で利用しているサーバーの中を改めて確認してみると『えっ?こんなモノまで持ってるの?』とか、『どうしてあっちにもこっちにも同じようなコピーが置いてあるの?必要なの?』とか、『このロッカーにしまってあるフロッピーディスクやMO、ラベル貼ってないけど中身はいったい何?』とか、結構“新しい発見”があるものです。まずは、以下の項目を網羅する形で取扱・保管情報のリストアップをされることをお勧めします。

 リストアップ項目→<情報の分類名><管理者(管理部門)><保管形態(紙or電子媒体)><保管場所><保管期間><廃棄方法><用途・目的><利用者範囲>

 難しいのは<情報の分類名>の設定かと思います。どの範囲のものを、どの程度の細かさ(大まかさ?)で分類したらいいのか?の判断が難しいでしょう。細かく調べればキリのない作業になってしまい、早くも脱落してしまうことになりがちです。考えていただきたいのはリストアップする目的です。最終的には組織の取扱情報が抱えるリスクを分析・把握するためにやっているのであり、その為のひとつのステップに過ぎないと考えて下さい。よって、ひとつは上記リストアップ項目の<管理者(管理部門)>〜<利用者範囲>まで全て完全に一致するような情報群については、抱えるリスクの種類・傾向は近いものになるはずで、複数に分類する場合も業務の種類と情報の重要度(情報資産価値・・・後に説明します)に差異があるかどうかが判断の基準になると思います。もうひとつは、情報の分類にも実際の業務内容や顧客層などの変化に対応する追跡性が考慮されるべきです。新しい業務を始めた、又はこれまでやってきた業務を取りやめたなどといった状況の変化があったにも関わらず、情報の分類構成には何ら影響が反映されないような“大まかさ”では、リスク分析・把握の目的は果たせないと考えるべきでしょう。

イプシロン
posted by イプシロン at 17:15 | 情報セキュリティ | 更新情報をチェックする