「識別しない」と言う管理策の不可解

「識別しない」と言う管理策の不可解

重要な情報資産を何処に保管しているか。これは容易に他人に教えることは出来ない。警備員の人数も教えるわけには行かない。でも、粘り強くコンタクトあるいは監視を続ければ、適用範囲の外の人間からでもある程度の推定は出来る。

一旦、適用範囲の中に入ると情報資産は識別されて、何が重要で何が重要でないかが分かる。社外秘、機密、秘、持出禁止、重要などとスタンプされたりシールが張られたりする。ここでも容易に極秘と判別されるのは、不測の事態ではリスクを持つことになると言う理由で、色分けされたシールで識別するようにするところもある。

ときどき話題になるのは「識別しない」という方法論の有効性。バインダーでもメディアでもいいが、中に入っている情報が重要なものか重要でないものかを分からないように敢えて識別しないと主張するクライアントがいるらしい。これは強弁である。でもこの強弁を審査員にぶつけると鳩が豆鉄砲を食らったが如く、びっくりしてすごすご引き返すことが結構あるらしい。

単にラベル付けの問題なら大騒ぎすることもない。識別はしているがラベルは貼らない。それだけの話だから。

情報資産のタイトルがあれば識別になる。タイトルから台帳を探れば、CIAの要求レベルと必要な管理策が分かる。メディアであればパソコンから中を覗けば同様に情報資産の管理要件が把握できる。パスワードをつける対象か、施錠管理の対象かなどは台帳に戻れば簡単に把握出来る。これこそが強弁である。ラベル付をサボる言い訳を理屈にしてみただけで、実効性はない。バーコードのシールが張られていてバーコードリーダーを持ち歩く現場なら可能性を否定できないが通常のオフィスでは難しい。

機密性区分を識別しない。ラベル付けもやらない。これは重大な不適合に相当する。特に重要な機密性資産については不可欠。

面白いのは識別･ラベル付を放棄しておいて、管理策の内容が異なるケース。例えば、秘密情報資産は施錠管理しなさい。秘密情報資産以外は施錠管理の必要はない。としておいて、この両者の識別･ラベル付けは不要とすると、書庫に収まる資産は正しく収まっているかどうか、都度最新の台帳で確認することになるが、現実的には無理、

結論は単純。『管理策が異なる場合は管理策に応じた容易さをもって識別（区分認識）が可能でなければいけない』というものです。

.*.