ISMS取得を目指すとき、まずは過去のISMS関連規格やガイドラインを学ぶことから始めるセキュリティ担当者も多いと思います。しかし、この時、注意するべきことがあります。それは、ISMSの規格自体がブラッシュアップされて何回も改訂されており、古い情報を参照した場合には、古い規格に基づいた内容である場合があるからです。
過去の規格やガイドラインでは頻出していた「情報資産」や「資産台帳」という言葉も、最新の規格(ISO27001:2022年版)では姿を消しているのです。どのように対応するべきでしょうか?
今回は、これらの背景を整理しながら、最新の規格で企業がどのように情報セキュリティを捉え、管理体制を構築していくべきかを考えていきたいと思います。(この文章はISO27001:2022年版に基づいています。さらに新しく改訂された馬合には古い内容になってしまいますので、ご注意ください。)
この機会に、自社のセキュリティ体制を見直したいという方には、ISMSの取得もサポートしております。ISMSを取得するメリットや、取得までの流れについては、以下の記事でまとめていますので、あわせてご覧ください。
目次
進化していくISMS規格(ISO27001)
ISMSの準拠規格である「ISO27001」が、2005年に始めて登場した時、守るべき対象として「情報資産」という用語が使用されていました。
情報資産とは、「組織が取り扱う情報そのものと、情報を取り扱う機器やシステムを全て含むもの」とされ、それには、会議室でホワイトボードに機密情報を書いている場合には、そのホワイトボードが情報資産とされる、というような説明が行われていました。
さらに、それら情報資産は「情報資産台帳」にリスト化することとされていました。「情報資産台帳」での管理は、組織が自ら保有する情報資産を棚卸しする役割を果たし、ISMSのリスクアセスメントに欠かせないツールとされていました。
しかし、最新版である2022年版では「情報資産」や「資産台帳」という用語は完全に姿を消しました。
この背景には、「資産」という言葉が「固定資産」や「財産」をイメージさせるところから、「情報を取り扱う機器やシステム」ばかりを取り上げるようになってしまい、肝心の「情報」が抜け落ちてしまうことが多くなったという反省があるようです。
ISO27001:2022年版が求めるのは「情報及びその他の関連資産」の「目録」
現在の「ISO27001」2022年版では、従来の「情報資産(Information assets)」という用語に変わって「情報及びその他の関連資産(Information and other associated assets)」という用語が採用されました。
また、「台帳」という用語についても、従来は「資産台帳(Asset register)」と「目録(Inventory)」が混在していたところ、2022年版で「目録」に完全統一されました。
つまり、今後、作成するべきなのは「情報資産台帳」ではなく、「情報及びその他の関連資産の目録」であり、その目録にもとづいてリスクアセスメントをすることをISO27001:2022年版は求めているといえましょう。
最新版のISO27001に基づいて準備を進めよう
今回は「情報資産」と「資産台帳」という言葉が、「情報およびその他の情報資産」と「目録」に変わったというお話をご紹介いたしました。
このように、新たにISMSを取得する場合や、ISMSの運用を維持するためには、いつも最新版の情報に基づいて準備を進めることが求められます。くれぐれも古い情報に従うことで、審査で不適合を受けたり、対応が二度手間にならないように注意してください。
なお、今回は「情報およびその他の情報資産」という言葉をご紹介いたしましたが、表記が長く、直感的に理解しづらいこともあり、ISMSコンサルの現場においては「情報およびその他の情報資産」の省略形として「情報資産」を再定義し、継続して使用しているケースも多いようです。
そのような場合には、ISMS基本規定の冒頭で
本規程において「情報資産」とは、ISO/IEC 27001:2022 における “情報およびその他の関連資産” を指すものとする。
と定義づけることをオススメします。このように整理すれば、その他の部分で「情報資産」という言葉を使用しても全く問題ありません。ご参考まで。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
