無形の「サービス」資産を洗い出す場合、契約単位で洗い出すのが現実的です。

その根拠は、例えば管理策【A.10.2】「第三者が提供するサービスの管理」において推奨されているように、
（付属書Aに挙げられた管理策とはISO27001の要求事項を補足する概念）

この管理策が云っているのは、

「第三者の提供するサービスに関する合意に沿った、
情報セキュリティ及びサービスの適切なレベルを実現し、維持すること。」

つまり、まず第三者が提供する（第三者からの提供を受けている）サービスを特定する必要があります。
特定するための基準として“契約”が分かりやすく、
したがって、特定の第三者（サービス事業者等）との“契約書”を単位とした洗い出しが適切という判断になります。

この第三者には、一般に以下のような組織が考えられます。

●ITサービス提供事業者
●情報システム関連事業者
●会計・監査・税務関連事業者
●人事・労務関連事業者
●広告関連事業者
●清掃・不動産管理関連事業者
●警備関連事業者

例えば、監査法人との契約は、上記の会計・監査・税務関連事業者に当たりますので、
彼らとの契約に基づくサービスは情報資産の洗出しの対象になります。

但し、実際の洗い出し作業においては、出来る限り省力化を図るために、
同じ企業との間に複数の契約が有る場合は、
情報資産名を「業務委託契約書（対■■社）」として幾つかの契約を一つの資産として捉えたり、
上記の区分（情報システム関連事業者等）により分類して、
「業務委託契約書（対情報システム関連事業者）」のようにまとめて洗い出すのも手です。

ISMSにおける情報資産の洗い出しのポイントは、

「漏れ無く洗い出すこと」であり、決して細かく洗い出すことではありません。

情報資産の台帳を作成する際には、あまり現場の負担にならないようにすることが重要です。

この辺りの解釈は誤解の多いところですが、
洗い出しを担当される作業者の共通理解の下、洗い出しを実施しましょう。