情報資産の一覧表の見直しが大変です。


ISMSを認証していると情報資産の洗い出しは必ずと言っていいほど
やっていると思います。
部門や仕事のプロセスが多いとそれだけ増えていって大変ですよね。
資産台帳というタイトルで、情報資産の一覧が100名規模の会社でも30ページとか
ある企業様もいます。
本当にこれだけの項目必要なんでしょうか?

資産の洗い出しというくらいなので、会社にあるものは根こそぎ
抽出する必要があるように感じます。
そこまで細かく抽出することでもれなく管理できるという考えもありますが
その弊害も考えなくてはいけません。

あまりに多くの資産項目があると、逆に1つの項目が抜けてしまっても
案外気づきません。これだけ多く洗い出していれば大丈夫と考えてしまうと
その一つ一つまでみることは現実的に難しいと思います。
例えば抜けてしまった項目が、資産価値も低く現存するリスクも低い
のであれば支障はないかもしれません。
ただ資産価値の低い項目が抜け落ちてしまう可能性があるのと同様に、
重要資産に値するような項目も抜けてしまう可能性もあります。
重要資産が抜けてしまっては、本末転倒です。
ISMSの、資産をリスクから守るというところから離れてしまいます。

そうならないためにも定期的な見直しは必要です。
そして、資産項目も多ければいいということでもありません。
資産価値やリスクが殆ど無いものはのぞいてしまっても、それで
会社の重要なものが守れるのであれば、そちらのほうが有効では
ないでしょうか。


メールアドレス