ISO27001 ISMSの範囲内の情報資産に関する質問

私はISO27k標準の専門家ではありませんが、以下は、情報資産の定義方法です 無料のISO27kツールキット

情報が処理または保存される場所（たとえば、コンピュータ、ファイルキャビネット、デスクトップ、ファックス機、ゼロックス、プリンタ、口頭での通信など）は、不正アクセスから適切かつ適切に保護する必要があります。変更、開示、および破棄

この定義を採用すると、ネットワークスイッチ/ルーターは単なるワークステーション接続機器ではありませんが、その構成ファイルにはネットワークインフラストラクチャに関する大量の情報が含まれています。つまり、IPアドレス指定スキーム、ルーティングプロトコル、サブネットアドレス指定スキーム、VLAN構成など）であり、不正なアクセス、変更、開示、破棄に注意する必要があります。

これは紛らわしく、おそらく新しい27001：2013が本体の資産についてもう話さない理由を部分的に説明しています。 （もちろん、効果的な資産管理は重要なセキュリティ管理であり、27001の付録A.8および27002の対応するセクション8で説明されています。）

情報資産は当然のことながら情報であるため、たとえば、VPNアプライアンスは情報資産ではありません。 （ただし、おそらく設定ファイルです）。

したがって、技術的には、それらを情報資産台帳に含める必要はありません。

ただし、実際には、リスク評価を行う場合は、情報資産が依存するサポート資産を理解して制御する必要があります。

実際、27002のセクション8を見ると、情報資産だけでなく、「情報または情報処理機能に関連する資産」についても慎重に話すことがわかります。 ISMSのスコープ内で動作するVPNシステムが確実に含まれるように思えます。

元の質問では、VPNまたはワイヤレスがISMSの範囲内にあるかどうかが尋ねられました。これに答える前に、2013年版の標準の4.1節と4.2節が完了していることを確認する必要があります。これらは、保護する必要のある範囲と情報を定義するのに役立ちます。そうして初めて、VPNやワイヤレスアクセスポイントなどを見ることができます。重要なことは、資産をスコープ定義フェーズに入れないようにすることです。

4.1項と4.2項に戻ります。これらはあなたがあなたの利害関係者をリストして識別することをあなたに求めます。たとえば、顧客、サプライヤー、規制当局、従業員など。それぞれに使用に関する要件があります。たとえば、法律、規制、契約条項を遵守する必要があります。 4.3節では、利害関係者とのインターフェースに関するスコープの設計について述べています。したがって、お客様がVPNを使用して当社に接続する場合は、安全で安全なアクセスを提供する義務があります。 VPNに沿って移動する情報は、VPNをサポートする物理的資産と同様に範囲内にあります。

場合によっては、サービスを提供するために他の当事者に依存することがあります。たとえば、ISMSを操作するための電力を供給するために電源会社が必要です。この例では、電力供給ステーションは明らかに範囲外であり、電力会社も関係者ではありません。あなたはあなたが他のものへの依存関係を持っていることを知る必要があるだけで、これをスコープ定義に織り込むべきです。

上記がこの投稿に遭遇した他の人々の助けになることを願っています...

いくつかの良い答えとポイントはすでにあります。ポットにさらにいくつかのアイデアを追加します。

ISO/IEC 27005は、検討すべき資産のグループが1つと2つあることを示唆しています。一次資産は「プロセス」と「情報」であり、二次資産はそれ以外のすべてです。

スコープステートメントでは、通常、主要な主要資産を特定することをお勧めします。これは通常、ISO/IEC 27001を実装する理由の中核となるためです。したがって、スコープステートメントで特定された「顧客情報」を確認するのが一般的です、 例えば。この順番は、「関係者」、この場合の顧客（そしてISMSの実装者としても）、顧客情報（人間、技術、物理、またはその他）に関係するプロセス、人、テクノロジーなどを示します。適切に検討されます-あなたの会社が所有および管理している場合でも、外部委託されている場合でも同様です。

したがって、VPNは副次的な資産であり、お客様の情報が穴を通り抜けて（私の例ではお客様の情報を想定しているため）、機密性、整合性を保護する役割があるため、組織にとって価値があります（重要です）。 、およびそれを通過する情報の可用性-そのコントロール。同様に、失敗して情報が利用できなくなる可能性があるため、リスクでもあります。ここで、スコーピングが少し複雑になり始めます。おそらく、境界とインターフェースについても話しているためです-スコープ内からスコープ外に渡るプロセスのこれらの部分。つまり、情報は、あなたが管理している領域の内側（ビジネス内）から始まり、次に、あなたが制御できない領域（ISP）の外に出ます。 ISPは範囲外の例ですが（ビジネスではなく、セキュリティ環境を制御できません）、境界とそれ自体を表しますisに依存しているため、資産あなたのビジネスで情報を送受信します。

したがって、問題をより複雑にするために、すべての資産が一見して範囲内にあるものではありません。個人の携帯電話のように、それらは資産ですか？会社が所有していませんが、多くの場合、従業員が仕事をするために使用され、機密性が高く重要なビジネス情報が含まれていることが多いため、資産です。ホームオフィスと同様に、週末に仕事を家に持ち帰り、それを資産にしますが、おそらく範囲外です。

したがって、スコープとアセットは2つの異なるものです。スコープは、ISMSのポリシーと手順を適用できる場所と適用する場所、およびコアビジネスと情報に関して何がカバーされるかを示すだけです。境界、インターフェース、および範囲外のプロセスは、リスクを評価し、適切な管理を実施し、リスクを管理するために、通常、契約上の取り決めによって行われるように認識しておく必要があるものです。

スコープステートメントは通常、情報（実際の情報-二次資産である情報を含むデータベースではない）、プロセス、および場所を参照します。詳細で複雑である必要はありませんが、すでに述べたように、非常に重要であり、正確でなければなりません。これは、詳細を掘り下げるための全体像を示しています。

スコープは資産の出発点にもなります。したがって、顧客情報が言及されている場合、その情報がビジネスプロセス全体でどこでどのように使用されているかを把握することができます。これにより、資産台帳を作成する必要が生じます。忘れないでください。他の人は将来の作業を改善できるなどです。プロセスに従うことで、情報を保持し、ユーザーが利用できるようにする必要があるデータベースなど、これらの二次資産の特定も開始します-そして、ユーザーが資産などになることがわかります。

その答えとして、VPNとワイヤレスアクセスポイントは、情報の機密性、整合性、および可用性がおそらく範囲内にあるため、資産になります。スコープから特定したプロセスの一部でない場合、ISMSの資産ではありません。

最後の例..スコープ内のプロセス（入力、アクティビティ、出力、リソース、コントロール/管理）のプロセス図を描画します-このプロセス内で作成、使用、破棄された情報などを特定します-プロセスと情報はあなたの主要な資産です。次に、そのプロセス内でこれらのアセットをどのように、そしてどのように使用するかを確認します。これらはセカンダリアセットです。これは、リスク評価のコンテキストを提供するため、すべて資産のインベントリに入ります。

ISMS全体の実装を促進するため、スコープが非常に重要であるのはこのためです。重要なものが欠けていて、ISMSはあなたのビジネスに付加価値を与えません。無関係なものを含めると、貴重なリソースを燃やします。

スコープを確立するときに、次のさらに重要な質問に進みます。ISMSの目的は何ですか？経営陣が回答する必要がある質問。それに答えれば、物事はより明確になるでしょう:)

そして最後の観察：-ISO/IEC 27001：2013を使用していることを確認してください-2005バージョンは現在廃止されています。あなたの投稿からは、2005年版を見ているように聞こえるかもしれません。新しいバージョンでは、この問題は私の意見でははるかに明確です。開始点は、組織のコンテキストであり、ISMSの範囲をまとめることができます。このコンセプトは2005年のバージョンにもありましたが、明確に説明されていません。