5.12情報の分類

概要

情報の重要度に応じた保護の要件を明確にし、その要件に従って保護することを目的とした管理策です。なお、この管理策の対象は情報であり、関連資産については触れられていません。

具体的には

機密性、完全性、可用性の観点で情報を分類するのがストレートな解釈です。最も分かり易いのは機密性であり、極秘、部外秘、社外秘といった分類をすることができます。その際、利害関係者の要求等を鑑みての分類が推奨されています。

分類の手順としては以下の通りです。

1. 1．分類基準を設ける（前述の例であれば、極秘、部外秘、社外秘・・・等）
2. 2．基準に沿って分類する（目録上で分類するのが一般的です）

以上で、各情報の管理責任者（CISOという意味ではありません）は分類結果に責任を持つ必要があるため、目録上で分類するのであれば目録は各管理責任者も承認するのが望ましいです。

なお、本管理策において関連資産の分類については触れていないのですが、5.9で関連資産を含む資産の重要度を決定することを推奨しているため、関連資産については取り扱う情報（例えば、PCであれば作成したり保存する情報）に依存するといった立て付けも可能と考えらえます。分類＝重要度とし、PCの重要度は取り扱う情報の分類結果に従うという立て付けです（関連資産については個別に重要度を決定しないということです）。

不採用の可能性があるか？

管理策の内容的に不採用とする理由が見当たらないため、全ての組織において採用されるべき管理策と考えられます。