情報資産

 

「インフォメーション・レビュー（情報レビュー）とは何ですか？ 情報レビューとは通常、組織のあらゆる領域を調査して、次の点を明らかにすることを目的とします。

1. どのような情報資産が存在するか

2. それらの資産が組織の事業ニーズをどのように支えているかを評価する

情報レビューを実施する際は、資料を取得・管理するために用いられるテクノロジーだけに着目するのではなく、情報そのものを独立した事業資産として主導的に位置づけることが極めて重要です。あわせて、すべての事業部門と関係するステークホルダー（たとえば、組織の情報の管理や保管を担う可能性のある提供者）に必ずヒアリングを行うことも不可欠です。

情報レビューの成果は、次の目的に用いられます。

・組織が「何が情報資産であり、何がそうでないか」を定義する際の根拠とする

・特定された情報資産を組織の情報資産台帳（IAR）に記録する

情報レビューを完了すると、組織は情報セキュリティリスクを効果的に検討できる体制になります。このレビューで得られた知見は、組織の包括的なリスク登録票（リスクレジスター）にとって不可欠な入力情報であり、どの資産がリスクに晒され得るのかをまず特定しないことには、適切なリスク評価は実施できません。」