それでは情報資産とリスク分析
「中小企業の情報セキュリティ対策ガイドライン」本編については、「中小企業のセキュリティ対策ガイドライン 本編」で当サイトでその概要についてお伝えしました。
これから付録7のリスク分析シートを活用して、自社の情報資産の棚卸しを進めていきたいと思います。
- リスク分析シートを活用することで、自社がどの分野(人的対策、物理的対策、委託管理など)に課題があるかわかります。
- またどのようなセキュリティ管理規程を準備する必要があるかも知ることができます。
このリスク分析シートを使いこなすために、情報資産の機密性・完全性・可用性に基づく重要度の定義について今回はお話したいと思います。
情報資産の定義
まず情報資産とは、
営業秘密など事業に必要で組織にとって価値のある情報や、顧客や従業員の個人情報など管理責任を伴う情報
ということになります。
例えば自社のサーバー内に保存されている営業情報ファイル、キャビネのファイルに綴じ込んである書類もそうですし、社員名簿、机上のパソコン、USBなども該当します。
情報資産の機密性・完全性・可用性
本ガイドラインによる機密性・完全性・可用性の定義は以下の通りです。
- 機密性(Confidentiality); アクセスを許可された者だけが情報にアクセスできる
- 完全性(Integrity); 情報や情報の処理方法が正確で完全である
- 可用性(Availability); 許可された者が必要な時に情報資産にアクセスできる
機密性・完全性・可用性の観点から情報資産をランク付けし、重要度を決定します。
その重要度に応じて、扱い・対策にかけるコストを変えていきましょうということです。
それでは、機密性・完全性・可用性の評価基準を以下、見ていきましょう。
機密性
機密性は”秘密が漏れたときのヤバさ”で、評価基準は最高3、以下2,1の順に低くなります。
完全性
完全性は、”データが壊れたときのヤバさ”で、評価基準は最高3、以下2,1の順に低くなります。
可用性
可用性は、”データが使えなかったときのヤバさ”で、評価基準は最高3、以下2,1の順に低くなります。
次回以降、機密性・完全性・可用性の評価基準を前提とした、付録7リスク分析シートの使用法についてお話していきたいと思います。
また情報資産の重要度評価については、当サイトのYouTubeチャンネルでも動画がありますので、よかったらご覧ください。
中小企業診断士として経営相談、小さなIT対応相談もOKです!
- Excelでデータ管理しているけど、もっと効率化したい
- システム導入したいけど何から手をつけてよいか……
- ITや経営で気軽に相談できる相手がいれば などなど
|
|
社長のお悩みお聞かせください!
