ISO27001(ISMS)情報資産の特定もれ

ISMS審査においては、担当者に業務内容のヒアリングを行いますが、その中で重要な情報資産の特定漏れはよく指摘となります。

指摘概要

貴社規程6.1.2(情報セキュリティリスクアセスメント)に従い、「資産目録」に情報資産を特定している。
しかし以下の情報について特定漏れが有る。
特定漏れした下記情報を含め、全ての情報を改めて洗い出し特定すること。また、新たに特定した情報については、リスクアセスメントおよび対策を講じること。
・顧客預かりPC
・顧客預かり設計書

是正内容

社内で改めて情報資産の洗い出しを実施し、顧客預かりPCや設計書を「資産目録」に特定し、「リスクアセスメントシート」にてリスク分析を作成した。

当社からのコメント&アドバイス

自社で作成している書類やデータの洗い出しをしていたが、開発業務でお客様からお預かりしているPCや書類を認識しておらず、このことが現地審査のヒアリングで判明したそうです。
最初から業務の内容をきちっとヒアリングしていけば、もれなく特定できますね。