平成31年春期情報セキュリティマネジメント午前問9

組織での情報資産管理台帳の記入方法のうち、IPA“中小企業の情報セキュリティガイドライン(第2.1版)”に照らして、適切なものはどれか。

答え　エ

【解説】
“中小企業の情報セキュリティガイドライン”の情報資産管理台帳の記入のポイントとして以下のように書かれています。

情報資産管理台帳は洗い出した情報資産を「見える化」するための方法の一つです。
特にパソコンやネットワークで利用する電子化された情報は人間の五感で感知することができないため、社外のサーバや個人のスマートフォンに保存されていると気付かないことがあります。
電子化された情報を洗い出すときには「普段パソコンで見ているこのデータは、どこに保存されているのだろう。」というように、社内のIT機器や利用しているクラウドサービスを思い浮かべて記入します。
重要度の判断は立場や見識によっても異なることがあるので、記入する前に「重要ではない」と判断するのではなく、記入した後に組織的に重要度を判断します。
電子データや書類を保存する際のまとめ方は様々ですが、管理方法や重要度が同じ情報は1件にまとめて記入することで作業負荷を減らすことができます。
情報資産の「重要度」は時間経過とともに変化することがありますが、現時点の評価値を記入してください。
また時間経過に伴う重要度の変化を台帳上で更新することが難しい場合は、最大値で評価します。
中規模企業の場合、管理部署ごとにシートを分けて作成すると、内容の見直しの際に便利です。

【キーワード】
・中小企業の情報セキュリティガイドライン

ア	様々な情報が混在し、重要度を一律に評価できないドキュメントファイルは、企業の存続を左右しかねない情報や個人情報を含む場合だけ台帳に記入する。
イ	時間経過に伴い重要度が変化する情報資産は、重要度が確定してから、又は組織で定めた未記入措置期間が経過してから、台帳に記入する。
ウ	情報資産を紙媒体と電子データの両方で保存している場合は、いずれか片方だけを台帳に記入する。
エ	利用しているクラウドサービスに保存している情報資産を含めて、台帳に記入する。

平成31年 春期 情報セキュリティマネジメント 午前 問9