ISMSで言われるラベリングって、どういうこと?


いつもご愛読ありがとうございます。
ISO総合研究所の野瀬でございます。

今回はISO27001における、ラベリングについてご説明をさせていただきます。

まずはISO27001の規格の文言を下記に記載いたします。
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※
A.8.2.2 情報のラベル付け
管理策
情報のラベル付けに関する適切な一連の手順は,組織が採用した情報分類体系に従って策定し,実施しなければならない。
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※
では、上記のISO27001の規格に対して、例えばどのような方法で、要求事項を満たしているのでしょうか。
例としては、「情報資産は社外秘、公開の2つに分類する。社外秘は鍵付のファイルに保管し、公開情報は持ち歩き可とする。」などがあります。

実際に、お客様や、社内のルールにおいて2つに分類しているところもあれば、一部の経営層のみが閲覧できる「極秘」を採用している企業もあります。
これはISO27001の規格が程度を要求していないことを表しています。

企業ごとの守らなければならない情報に応じて、ISO27001の規格をうまく利用して、区分分けしたいものですね。

メールアドレス