ISMSにおける「資産」とは？

ISMSにおける「資産」に関し、ISO/IEC27000,ISO/IEC27001,ISO/IEC27002では、「組織にとって価値をもつもの」とあり、これは、JISQ13335-1(ISO/IEC13335-1)を引用したものです。

規格ISO/IEC27001（以降、単に「規格」の表示はこの規格を指すものとします） 4.2.1 a)では、事業・組織・所在地・資産・技術の特徴の検知から、ISMSの適用範囲及び境界を定義する。」とあり、また規格4.2.1 d)では、リスクの特定のために「ISMSの適用範囲の中にある資産・・・特定する。」とあります。

規格目線で言うと、「資産」に関しては、概ねこの要求が基本となります。日本においてISMSの認証登録は、その基準文書として、ISMS認証基準(ver.0.8：認証事業のパイロット用)、(ver.1.0、ver.2.0)を経て、規格書ISO/IEC27001となりました。この間、「情報資産」から「資産」に用語も変更されました。また、参考としての資産の例示も、概ね下記のように各種あります。要するに、「資産」とは、「これだ」という要求はないと言うことです。

【資産の例示】（紙面の都合もあり内訳詳細例示は省略します。）

A）ISMS認証基準時代（ISO/IEC 17799：2000(JISX5080：2002で例示)）

→a) 情報資産、b) ソフトウェア資産、c) 物理的資産、d) サービス

B）ISMS国際規格（ISO/IEC 17799：2005(JIS Q 27002：2006で例示)）

→a) 情報、b) ソフトウェア資産、c) 物理的資産、d) サービス、e) 人，保有する資格・技能・経験、f) 無形資産（例えば，組織の評判・イメージ）

C）ISMS国際規格（ISO/IEC 27005：2008情報技術-セキュリティ技術-情報セキュリティリスクマネジメントで例示)）

→主要資産：事業プロセス及び事業活動、情報

→全種類の支援資産（適用範囲の主要要素が依拠する）：ハードウェア、ソフトウェア、ネットワーク、要員、サイト、組織の構成

D）ISMS国際規格（ISO/IEC 27000：2009情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-概要及び用語で例示)）

→a) 情報、b) コンピュータプログラムのようなソフトウェア、c) コンピュータのような物品、d) サービス、e) 人，及びその資格，技量，経験、f) 評判及びイメージのような無形物

認証基準時代（BS7799、ISO/IEC GUIDE73）は、「情報資産(information asset)」と称しており、狭義のISMSという印象でしたが、国際規格になった時から、「資産(asset)」となり、組織規模やISMSの目的での選択の幅が広がったと考えます。

しかし、名前は「資産」と変わりましたが、中身（頭の中？）がいわゆる「情報資産」に留まっており、個人情報とサーバー、PCを守るISMSもあるとのことです。

 

お奨めは、「C）ISMS国際規格（ISO/IEC 27005）」です。

１）資産名が、管理目的に登場するものがあり、管理目的・管理策との関連が取りやすい。

２）QMS、ITSMS、EMSなど他のMSとの両立性が容易となる。

３）ISMSの目的が事業継続管理との意識が生まれる。

４）ISMSは、防御のコストではなく、戦略としての投資との意識が生まれる。

などです。

業務活動や、業務プロセス、組織などを取り込むと、ISMSが複雑で、大きくなるのではないかと心配されるかも知れませんが、ISMSの設計を行い、構築すれば、コンパクトにできます。なによりも、リスクをより軽減できること、生業の業務や業務プロセスの改善に繋がり、やらされ感も減少できます。

うまく構築・運用すれば、投資が増えることもありませんので、事業継続を危うくするリスクは少ない方がよいのではありませんか？