情報セキュリティ対策には、経営陣のコミットメントが不可欠--情報セキュリティマネジメントとガバナンスの考え方

EnterpriseZine / 2013年12月10日 7時0分

図7:情報セキュリティポリシーの位置づけ

 前回は、リスク対応と情報セキュリティにおける対策の種類やあり方について説明しました。前回で説明した通り、情報セキュリティ対策の決定はリスクアセスメントの結果によって行われます。そして、決定した情報セキュリティ対策は、適切なフレームワークや体制で実施されなければなりません。そのために必要となるのが「情報セキュリティマネジメント」と「ガバナンス」です。今回は、その情報セキュリティマネジメントとガバナンスの考え方について解説します。

■情報セキュリティマネジメントとガバナンスの考え方

 「情報セキュリティマネジメント」とは、組織の情報セキュリティ対策を包括的かつ体系的に、さらに継続的に実施する活動のことです。

 「情報セキュリティガバナンス」とは、情報セキュリティマネジメントと同様に組織の情報セキュリティ対策の活動ですが、さらに上位の概念であり、情報セキュリティマネジメント活動を含む経営活動の一つです。

 情報セキュリティを確保するためは、組織の情報セキュリティに関する要素を包括的かつ体系的な視点で評価し、対策を講じ、継続的に管理していく必要があります。そのためには、情報セキュリティマネジメントとガバナンスの体制を構築し、そのフレームワークを参照し、活用することで効率的かつ効果的な情報セキュリティ活動を実現できることになります。

■情報セキュリティマネジメントのフレームワーク

 情報セキュリティマネジメントでのフレームワークは、情報セキュリティマネジメントシステム(ISMS:Information Security Management System)と呼ばれています。

 情報セキュリティマネジメントシステムは、プロセスによって管理されます。この際に使われるプロセスが「PDCAサイクル」です。PDCAサイクルは、「Plan(計画)」-「Do(実行)」-「点検(Check)」-「処置(Act)」という4つのフェーズに分かれています。

 この4つのサイクルで実施することは、以下の表の通りです。

 PDCAという基本サイクルにより、情報セキュリティの活動が計画(P)され、計画に基づいた実行(D)がされます。さらに、その運用状況は点検(C)され、その結果に基づき改善などの処置(A)が行われます。これを継続的に行うことにより、組織の情報セキュリティ対策を包括的かつ体系的に実施することが可能になります。

 情報セキュリティマネジメントを構築・運用するためには、一般にJIS Q 27001(ISO/IEC 27001)という規格が参照されます。なお、ISO/IEC27001は、2013年9月に改定されました。これに伴い、JIS Q 27001も2014年に改訂が予定されています。

株式会社ラック 長谷川 長一[著]

EnterpriseZine

トピックスRSS

ランキング