まずは情報と資産の定義から確認しておきましょう。情報 (Information)というのは、データが意味を持つ形に変換されたものです。これには、組織の知識や知見、業務プロセスに関する事実、数字、メッセージ、画像などが含まれます。デジタル、紙ベース、口頭、視覚的など様々な形態で存在し、例えば、財務報告書、顧客データ、メール内容、研究レポート、機密文書が情報に当たります。一方で、資産 (Asset)とは、組織にとって価値があり、保護が必要なものを指します。情報も資産の一部と見なされますが、資産はより広い概念です。資産は情報資産だけでなく、サーバー、PC、オフィスなどの物理的資産、従業員のスキルや知識などの人的資産、ソフトウェア、ブランド価値なども含まれます。つまり、情報はその内容や機密性に応じて保護されるべきであり、資産は全体として組織にとっての価値と重要性に基づいて保護されます。
ただ、CISSPの試験を受けるときには、細かな定義を覚えておく必要はありません。どんなシステム環境であっても必要なセキュリティの倫理観や法則性というテーマがメインになりますので、「財務報告書は資産で、メッセージは情報で」と覚えるのは、やりすぎですね。情報という定義のイメージだけ持って置き、資産はそれ以外という感じで覚えておきましょう。