情報資産の洗いだし

情報管理の対象となる情報がどのようなものであるを明確にするために、認証対象部門内で社員やその他の関係者が使用している情報を1つ1つ洗いだす。

ただやみくもに実施しても、もれや重複が発生するので、業務フローをあらかじめ用意して、それにそって情報資産の洗いだしをする、あるいは事務局側で代表的な情報資産を記載したテンプレートのようなものを用意し、その差異を現場で記載するといった工夫をすると、効率的に実施することができる。

情報資産洗いだしシートの記入

洗いだした情報資産を情報資産洗いだしシートに記録する。洗いだしシートは、ISMS構築以降は情報資産台帳になるものなので、今後も情報管理をするうえで必要な項目はもれなく記載する必要がある。例えば、情報資産の責任者や重要度、情報の保管期限や情報の記録媒体の種類、廃棄方法などである。

情報資産のグループ化

情報資産を記録する際には、複数の社員で重複している情報や管理方法、重要度が同じ情報についてはグループ化して、シートの管理を用意する。グループ化の例を表6に示す。

情報資産の評価

情報資産を機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）の指標で評価を行い、情報の管理レベルを決定する。評価の方法については、認証取得企業によってまちまちではあるが、CIAそれぞれを3〜5程度でレベルわけを行い、レベルわけしたCIAの和や積でその情報の資産価値とする、あるいはCIAいずれかの最大値をもってその情報の資産価値とするなどの方法がある。

プロジェクト・委員会方式

これは情報資産台帳をもとに、ISMSを推進する組織（情報セキュリティ委員会やISMS推進PTなど）が、議論をしながら評価する方法である。あわせてCISOなどの経営層のトップインタビューもあわせて実施するとさらによい。当然、トップインタビューが入ることによって、意思決定が早まる。

この方法は情報資産が少なく、情報システムの少ない企業に向いている。

パターン化方式

この方法は、経営や利害関係者に対する影響を踏まえて、パターン化を行い、そのパターンに照らしあわせて、評価を行う方法である。この方法はあらかじめめパターンを用意してそれによって、脅威や脆弱性を明確にしていくので、以下のスコアリング方針のわずらわしさを解消する方法である。

スコアリング方式では、それぞれの情報資産に対して、1つ1つ細かく分析をするが、パターン分類方式では、管理策などもパターン化して、基本的には○×形式でアセスメントしていくので効率がよい。

この方法は、リスクアセスメントにあまり時間をかけたくない企業や、企業の全体像を意識しながら情報セキュリティ管理を実施していきたい企業に向いている。

スコアリング方式

この方法は、JIPDECのWebサイトも掲載されているISMSユーザーズガイド−リスクマネジメント編（http://www.isms.jipdec.jp/doc/JIP-ISMS113-11.pdf）や、GMITS、あるいは多数の書籍で紹介されている一般的な方法である。

この方法は評価方法が数値化されているので、評価の作業自体は効率的であるが、評価の結果から対策検討するステップが経験を要する。なぜかというと定量的にだされた評価結果から、実際の情報管理策を立案する部分は定性的だからである。

この方法は、リスクアセスメントに十分な時間をかけられる企業に向いている。

図2：リスク対応フロー
（画像をクリックすると別ウィンドウに拡大表示します）