ISMS情報資産の洗い出しについて

こんにちわ。

３０人程度の小規模な企業に勤務しておりますが、業務上ＩＳＭＳの取得が必須となりそうなので今回取得を試みる事になりました。

現在、情報資産の洗い出し作業を行っている所なんですが、どこまで掘り下げて洗い出しをすればいいか訳がわからなくなってきました。

今、問題となっているのは原材料や消耗品についてなんですが、例えばＡ４のコピー用紙やプリンターのトナーカートリッジについては
どのように考えればいいのでしょうか？

情報資産の洗い出しを考える際、情報やデータのみを情報資産として考えればいいのかもしれませんが、コピー用紙を使えば、その情報を
印刷して持ち出す事ができると考えると、資産として管理しておくべきなのかというところにたどり着いてしまいました。

この考え方でいくと会社のあらゆるものを資産として考えておかなければいけなくなるような気がします。

また簡単に考えるのであれば、住所録は資産として考え、コピー用紙やトナーなどについては漏洩時のリスク対策として管理するように
した方が簡単なような気もします。

みなさんの会社では情報資産の洗い出しについてどのようにお考えなのか教えて頂け無いでしょうか？

宜しくお願いします。

No.3 ベストアンサー 回答者： osakai--- 回答日時： 2008/10/04 13:39

>要はとりあえず全ての物を洗い出し、その中で要不要の判断をすればいいという事なのでしょうか？

そうですね。私がISMSの講習会に参加していた、講師は
まずは、考えられるものは全てでしてくださいといってました。

あとは会社がリスクを容認すれば、それはそれでいいのです。
これがあると後々大変だからとか、そういうものはキチンと洗い出して
リスク分析して、対策は費用対効果を判断して会社が容認すれば
それでいいのです。

この回答へのお礼

相変わらず返事が遅くなりすいません。
面倒だと工程を省かず一歩一歩進んでいきます（笑）
ご丁寧にありがとうございました。

お礼日時：2008/10/08 08:23

No.2 回答者： osakai--- 回答日時： 2008/09/26 20:56

情報資産の洗い出しをする場合は、情報資産を全て洗いだしてください。

紙であろうが、鉛筆であろうが、USB、CD-R　すべて、まずは出してください。但し、紙とかUSBとかは情報が入っているものと入っていな
いものではリスクが違いますので、それぞれ情報資産として計上した
ほうが、あとあといいです。
まあ、今の段階でそんなことは考えず、思いつくものは全て洗いだししましょう。
ワーキンググループで、その情報資産の一覧を作成して省くものは
省いても結構です。　その作業をしたことが大事なことです。

次のステップで洗い出した情報資産をグループ化してリスク評価する
ことになります。

まだまだ先は長いです。

この回答への補足

お返事遅くなりすいません。

要はとりあえず全ての物を洗い出し、その中で要不要の判断をすればいいという事なのでしょうか？

補足日時：2008/10/02 15:31

No.1 回答者： bin-chan 回答日時： 2008/09/26 16:32

> コピー用紙を使えば、その情報を印刷して持ち出す事ができると

考えすぎでしょう。だって「その情報を書き写して持ち出す事ができる」を含めちゃうと筆記具もですよ？
「その情報」そのものが保護対象。


顧客一覧はもちろんのこと、名刺、フロア図（個人の机配置を記載したもの）、内線番号表、ＰＣ、個人が作業メモとるノート（紙に記録「した」もの）あたりでしょうかね？
管理方法・使用後の扱い（廃棄等）を明確にリスト化しています。
さらに適宜見直しあり。

この回答への補足

bin-chan様お返事ありがとうございます。

資産の洗い出しでは「情報そのもの」を保護対象と考えておけばいいって事ですね。

ただ一つ引っかかる事がありまして、ネット等で資産台帳の洗い出しなどのサンプル事例をみるとＣＤやＵＳＢメモリなども列挙されているものが
ありました。

「情報そのもの」と考えると未使用のCD-RやＵＳＢメモリ等は資産として洗い出す必要がないのでしょうか？

また、例えばＣＤ－ＲＷのように時には空ＣＤ、時には情報が入っているという場合の媒体等についてはどのように考えておけばいいものなのでしょうか？

この辺の切り分けを考えているうちに質問内容のような混乱状態に陥ってしまいました・・・。

申し訳ありませんが、ご教授願えますでしょうか？

補足日時：2008/09/26 17:20