【QA】①情報資産台帳の作成方法について②情報セキュリティポリシー策定等に関する相談

### ■タイトル - ①情報資産台帳の作成方法について②情報セキュリティポリシー策定等に関する相談 ### ■相談内容 - ①情報セキュリティ対策の取組として各種検討中ですが、情報セキュリティに関するリスクアセスメントのスタートとして、情報資産台帳の作成を検討しております。しかし作り方や情報資産の評価の仕方が分からないので、作成方法を学べるセミナーや作成の助言をもらえるような外部業者を探しているのですがどこかありますか。 - ②現在組織的対策として、情報セキュリティ基本方針、方針や規定等を作成しております。ただ内容に問題ないかの妥当性を外部の視点から確認できるようなところがあれば相談してみたいです。 ### ■回答内容 #### 情報資産台帳作成のポイント情報資産台帳を作成情報資産台帳を作成する際には、以下の点に注意する。 - 情報資産の洗い出し：自社の業務に必要な全ての情報を洗い出すことが重要。 - 情報資産の分類：情報資産の種類や重要度に応じて分類。 - リスク評価：各情報資産に対するリスクを評価し、対策を検討。 - 定期的な見直し：情報資産は常に変化するため、定期的に見直しを行い、台帳を更新。 #### 情報セキュリティ基本方針、方針や規定等の作成のポイントセキュリティポリシー等を作成するに当たっては、下記のようなステップがあります。 - 目的と範囲の明確化 - 経営層のコミットメント - 法規制や業界ガイドラインへの準拠 - リスクアセスメントの実施 - 具体的な対策の実施 - 継続的な見直しと改善 - 従業員への周知徹底 - インシデント対応計画の作成 - 文書化 - 外部評価 #### 参考資料情報セキュリティ基本方針、方針や規定等の作成、情報資産台帳作成の詳細手順を紹介しています。具体的な情報セキュリティポリシー、情報セキュリティ対策基準、実施手順の策定は、下記のページを参照してください。 - [中小企業の情報セキュリティ対策ガイドライン | 情報セキュリティ | IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/security/guide/sme/about.html) - [i中小企業の情報セキュリティ対策ガイドライン第3.1版](https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055520.pdf) - [刊行物『中小企業向けサイバーセキュリティ対策の極意』](https://www.cybersecurity.metro.tokyo.lg.jp/security/guidebook/#page1) - ハンドブック『中小企業向けサイバーセキュリティの実践ハンドブック』～中小企業も安心！セキュリティ対策でDXを加速～【2023年度版】 - 第7章. セキュリティ対策の概要（全容） - [PDF版](https://www.cybersecurity.metro.tokyo.lg.jp/security/docs/Tokyo_CyberSecurity_HandBook_2023_Text.pdf) - [EPUB版](https://www.cybersecurity.metro.tokyo.lg.jp/security/docs/bibi-bookshelf/Tokyo_CyberSecurity_HandBook_2023_Text.epub) #### 支援業者上記の資料を参考に策定作業を進めた上で、支援が必要と思われる部分を明確にして、外部業者等に支援を求めることをお勧めします。当相談窓口では、個別支援業者を紹介しておりませんが、下記の公的機関のページに、関連サービスのリストがありますので、参考にしてください。 - [ワンストップ総合相談窓口 | ワンストップ総合相談窓口（soudan） | 東京都中小企業振興公社](https://www.tokyo-kosha.or.jp/support/shien/soudan/) - [情報セキュリティサービス基準適合サービスリスト | 情報セキュリティ | IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/security/service_list.html) - [ITコーディネータ協会（ITCA）](https://www.itc.or.jp/) - [セキュリティプレゼンター制度について | 情報セキュリティ | IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/security/sme/presenter/index.html) #### セミナー公的機関のセミナーとして、下記のようなものがあります。 - [地域団体等との連携による中小企業のサイバーセキュリティ対策普及促進のためのセミナー開催支援 | 情報セキュリティ | IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/security/sme/renkei.html) ### ■備考なお、東京都では、今年度は募集を終了してしまいましたが、中小企業サイバーセキュリティ基本対策事業で専門家派遣によるセキュリティポリシーの策定の支援があります。 [中小企業サイバーセキュリティフォローアップ事業](https://follow-up.metro.tokyo.lg.jp/)で、メルマガ登録して頂けると来年度の事業で募集があれば、案内メールが届きますので、参考としてください。 ### ■参考情報