- 2017年12月20日
- セキュリティについて
「情報セキュリティ報告書モデル」をご存知ですか?
突然ですが、「情報セキュリティ報告書モデル」をご存知ですか?
これは、経済産業省が主導して進めるもので、CSR、およびIR活動の一環として行われる「情報セキュリティ報告書」の雛形的な存在です。
情報セキュリティ報告書は、企業の情報セキュリティの取組の中でも社会的関心の高い ものについて情報開示することにより、当該企業の取組が顧客や投資家などのステークホ ルダーから適正に評価されることを目指すものである。
一時期、「環境報告書」(環境負荷に配慮した経営をしていることを企業が表明する報告書)や「CSR報告書」(CSR活動に配慮した……(以下同文))といった、社会的なコミュニケーションが流行しましたが、これもその一つと言えるでしょう。
なお、項目は上のリンクから参照できます。
7項目あり、それぞれ情報セキュリティのマネジメントシステムに関する表明ととっても良いでしょう。
①基礎情報 報告書の発行目的、利用上の注意、対象期間、責任部署等
②経営者の情報セキュリティに関する考え方 情報セキュリティに関する取組方針、対象範囲、報告書におけるステークホルダーの位 置付け、ステークホルダーに対するメッセージ等
③情報セキュリティガバナンス 情報セキュリティマネジメント体制(責任の所在、組織体制、コンプライアンス等)、情 報セキュリティに関わるリスク、情報セキュリティ戦略等
④情報セキュリティ対策の計画、目標 アクションプラン、数値目標等
⑤情報セキュリティ対策の実績、評価 実績、評価、情報セキュリティの品質改善活動、海外拠点の統制、外部委託、情報セキ ュリティに関する社会貢献活動、事故報告等
⑥情報セキュリティに係る主要注力テーマ 内部統制や個人情報保護、事業継続計画など特に強調したい取組、テーマの紹介、工夫 した点等
⑦(取得している場合の)第三者評価・認証等 ISMS 適合性評価制度、情報セキュリティ監査、プライバシーマーク制度、情報セキュリ ティ関連資格者数、格付け/ランキング等
一般的に、「情報セキュリティ」と言うと、どうしてもITの、それもネットワークに侵入されないように、あるいは「機密文書の持ち出しを防ぎたい」など、どうしても各論に終止しがちです。
しかし、この報告書モデルはそれとは異なります。
それは、「マネジメント」に力点が置かれていることです。
どんなに各論のセキュリティ対策がしっかりしたとしても、企業活動の何処かに脆弱な点があれば、漏洩はそこから発生する。
情報セキュリティマネジメントの本質は、網羅的にリスク評価を行い、適切な打ち手を考えることにあります。
どこから情報セキュリティに手を付ければよいかわからない。
事故が発生したときの緊急対策はどのように考えればよいのかわからない。
リスク分析・評価のフレームワークを知りたい。
そんな要望がある会社であれば、一度この報告書の中身を覗いてみても良いでしょう。
様々な会社が、「情報セキュリティ報告書」を発行していますので、それに学ぶことは非常に有意義と思われます。
eyecatch:Alan Levine