メルマガコラム - 現場のセキュリティ対策 - TBCソリューションズ

tbcソリューションズ
tbcソリューションズの実績

最大50%OFFが可能!! 割引制度割引制度詳細    サポーター会員なら受講料がお得サポーター会員詳細

現場のセキュリティ対策

A.8 資産の管理(A.8.1資産に対する責任 2/3)

管理目的「A.8.1資産に対する責任」について前回は、資産を管理するためには、まず資産を把握することが重要ということで、「A.8.1.1資産目録」のお話をしました。
今回は、把握した資産の管理するための管理項目についての管理策のお話です。

 

□管理策「A.8.1.2資産の管理責任」
ここでは、管理策「A.8.1.1資産目録」で作成した目録に取り上げた資産を管理するために、その管理責任者を指定することを求めています。管理責任者は、資産のライフサイクル(作成、処理、保管、送信や移送、削除や廃棄等)を考慮したうえで、適切であることも、あわせて求めています。適切であるということは、その資産が組織で維持管理されている間のすべてにおいて、その管理責任を負うということを指しています。なかなか重たい責任です。。。さらに、ISO/IEC 27002では、資産の管理責任者は、以下のことを行うことが望ましいとされています。

 

 a) 資産の目録が作成されることを確実にする。
 b) 資産が適切に分類及び保護されることを確実にする。
 c) 適用されるアクセス制御方針を考慮に入れて,重要な資産に対するアクセスの制限及び分類を定め,
   定期的にレビューする。
 d) 資産を消去又は破壊する場合に,適切に取り扱うことを確実にする。

 

目録に取り上げられた資産の管理責任者、“部長でいいんじゃない”、“これは総務担当者でしょ”、“これは各自の責任かな”等々、このように決めていませんか?資産の管理責任者とは、以上のようになかなか重たい責任があります。今一度、“適切な”管理責任者が指定されているか確認してみてください。

 

ここでは、資産の利用者範囲を決めることが求められている、とよく言われていますが、もう少し深く突っ込んだことが求められています。資産の利用者範囲というと、誰がその資産を見れるのか、使えるのか、アクセスできるのか等々といったところに落ち着くと思います。利用者範囲を決めるところまででは、この管理策の半分です。この管理策では、利用者範囲の人たちに対し、その資産の情報セキュリティ要求事項を認識させること、さらには、その資産の利用について責任を持たせることも必要とされています。一般的には、“許容範囲”=“利用者範囲”ととられるケースが多く、これについては間違いではないことから、審査等で指摘をされることもないと思います。ただ、規格では“許容範囲に関する規則を明確にし、文書化する”ことを求めています。よって、先に挙げたような責任が規則として必要となるわけです。

 

“資産の管理責任”、“資産利用の許容範囲”、この二つの管理策、じっくり考えるとかなり奥深いものです。(奥深いのは、その他の管理策もそうなのですが。。。)「資産目録」や「資産台帳」等々に、資産の管理責任者と利用者範囲を明確にし、文書化しているから、それでよし、とさえている会社が多いと思います。この二つの管理策を確実に行うためには、役割、責任及び権限といったところまで考えていく必要があると思います。いま、社内にある資産の管理を確実に行うためにも、この二つの管理策についての対策、見直してみてはいかがでしょうか。
このお話が皆さんの取組みの再確認にご活用いただければと思います。

【無料】TBCSメールマガジン

「TBCソリューションズ メールマガジン【無料】」は最新の研修・セミナー情報や、コンサルタントによるISO規格の解説情報、コンサルタント コラムやお得なキャンペーン情報や割引制度などをお届けするメールサービスです。
登録したメールマガジンは、すべて【無料】でご覧いただけます。

【TBCSメールマガジン(無料)の登録】

お問い合せ先

お問い合せはこちら 03-5259-7181 電話での受付時間:平日9:00~18:00 お問い合せ

このページのトップへ