ITガバナンスと情報セキュリティガバナンスの構築...

ITガバナンスと情報セキュリティガバナ

ンスの構築に向けて

ISACA International VP, 日本ITガバナンス協会理事情報通信総合研究所マーケッティング

ソリューション研究グループ主席研究員

大阪大学大学院特任教授原田要之助

2

目次

１はじめに

２ ITガバナンスのフレームワーク

３情報セキュリティガバナンスのフレームワーク

４２つのフレームワークの関係

５ ISOにおける国際標準化の動向

６ ITガバナンス、情報セキュリティガバナンスの

構築

７ COBITの利用

８まとめ

3

ITは経営の課題

経営面で、ITが議論される割合が高まっている

出典： IT Governance Global Status Report, IT Governance Institute, 2008

4

IT投資の経営への関与が増している


企業は、IT投資（ITガバナンスの重要な要素）について経営の

関与を強く意識するようになっている

5

ITガバナンスの成熟度が高まっている3以上の企業が増えてきている


ITガバナンスの成熟度の高い（3以上）の企業が50%を超えて

いる

6

日本企業のITガバナンスの現状

大企業はITガバナンスに手がついているが中小企業はこれか

ら強化が必要

出典：ITと内部統制に関する調査研究報告書、平成19年度、情報処理開発協会

7

日本企業のガバナンス（IT統制から）

2006年より改善は見られるものの、リスク評価が弱い

出典：ITと内部統制に関する調査研究報告書、平成19年度、情報処理開発協会

8

ITが企業に与える背景とガバナンス

企業は、①競争力向上（正確性、迅速性、完全性）、②コスト削減（企業内のプロセスの自動化）、③コミュニケーション向上（Webサイト、電子メール）

企業は、ITを広くビジネスプロセスに利用

ITのリスクや情報化の負の側面が無視できなくなった個人情報のデータベース化→漏えいの大規模化インターネット利用→不正侵入、情報詐取・改ざん企業内のIT化→システムダウンによるビジネスの停止会計情報のIT化→信頼性確保のためIT統制が必須

ITや情報セキュリティが企業ガバナンスの不可欠な構成要素

9

目次

１はじめに






構築

７ COBITの利用

８まとめ

10

ガバナンスとは• 『コーポレートガバナンスの財務的側面に関する

委員会報告（Report of the Committee on the Financial Aspects of Corporate Governance）』（キャドバリー・レポート（Cadbury Report）、1992 年）

– 企業に対するコントロールと社会に対する説明責任– 戦略的目標の設定、リーダーシップの提供、経営の監視、利害関係者に

対するその管理責任に基づく報告義務

• 国際決済銀行（BIS）は、その『銀行業におけるコーポレートガバナンスの向上（Enhancing Corporate Governance in Banking Organisations）』（1999 年）

– 組織全体の目的が設定される– 目的を達成するための方法– 成果をモニタリングする方法

• ガバナンスとはステークホルダの価値に対して責務を持つ– 戦略の設定、リスクの管理、価値の提供、成果測定という責務

11

ITガバナンスのフレームワーク


ITガバナンスのフレームワークとしては、既存のISO9000やSix Sigma、独自の基準が減少し、変わって、CobiTやITIL/ISO2000の採用が増えている。

12

ITガバナンスとコーポレートガバナンス

• 取締役会と執行役員は、企業ガバナンスをIT の分野に拡大し、企業のIT が企業の戦略ならびに目標を維持し発展させるリーダーシップとITガバナンスを運営する組織体制とプロセスを提供する必要がある。

• IT ガバナンスは、学問分野ではない。IT ガバナンスは、企業のガバナンス全体の不可欠な構成要素である。

• IT ガバナンスをガバナンス全体に統合する必要がある。IT は、企業の内部で他から隔離されたものではなく、企業の一部である。

出典： IT ガバナンス協会,『取締役会のためのIT ガバナンスの手引き、第2 版』, 2005

13

ITGIのITガバナンスとはガバナンスとは、戦略的指針を与え、目標が達成されることを保証し、リスクが適正に管理され、企業の資源が妥当な形で利用されていることを確実にすることを目標とした、取締役会と役員が実行する任務ならびにプラクティスの総体である。

出典： IT ガバナンス協会,『取締役会のためのIT ガバナンスの手引き、第2 版』, 2005

14

ITガバナンスのさまざまな定義

１通商産業省（当時）と日本情報処理開発協会：「企業が競争優位性構築を目的に，IT戦略の策定・実行をコントロールし，あるべき方向へ導く組織能力」

２日本監査役協会：「リスクマネジメントとパフォーマンスマネジメントを実施するにあたっての健全性確保のためのコンプライアンスマネジメントの確立」

３日立の例：「ITガバナンスとは統制と自律の最適な配置を議論し，合意，遂行すること」。この考え方に基づき，グループ内のIT活動を統制するものと自律させるものに分類– （1）共通業務の徹底した統合・集約化による分散損の排除，コス

ト削減，高位標準化をねらう領域– （2）それぞれの事業の経営判断に委ねることによる競争優位性

15

システム管理基準のITガバナンス前文• 今日、組織体の情報システムは、経営戦略を実現するための組織体の重

要なインフラストラクチャとなっている。さらに、それぞれの情報システムがネットワーク化されることにより、社会の重要なインフラストラクチャとなってきている。一方、情報システムはますます多様化、複雑化し、それに伴い様々なリスクが顕在化してきている。また、情報システムに係わる利害関係者も組織体内にとどまらず、社会へと広がっている。従って、このような情報システムにまつわるリスクを適切にコントロールすることが組織体における重要な経営課題となっている。システム監査は、組織体の情報システムにまつわるリスクに対するコントロールが適切に整備・運用されていることを担保するための有効な手段となる。また、システム監査の実施は、組織体のITガバナンスの実現に寄与することができ、利害関係者に対する説明責任を果たすことにつながる。

• 組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的は、以下の通りである。

– 情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため– 情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能

するため– 情報システムが、内部又は外部に報告する情報の信頼性を保つように機能す

るため– 情報システムが、関連法令、契約又は内部規程等に準拠するようにするため

16

目次

１はじめに






構築

７ COBITの利用

８まとめ

情報セキュリティガバナンスの背景

17

個人情報保護、CSR、

リスクマネジメント、セキュリティ事後

などが重要な要素

となっている

出典：産業構造審議会情報セキュリティ基本問題委員会中間とりまとめ～企業における戦略的な情報セキュリティガバナンスの確立に向けて～平成20 年６月より

18

情報セキュリティガバナンスの背景２

情報セキュリティガバナンス

シンポジウム

2008 アンケート結果

情報セキュリティは、経営トップ、組織・体制、効果測定・評価方法の観点＝情報セキュリティガバナンスの面で改善が求められている

出典：産業構造審議会情報セキュリティ基本問題委員会中間とりまとめ～企業における戦略的な情報セキュリティガバナンスの確立に向けて～平成20 年６月より

19

情報セキュリティガバナンスの背景

• 米国で、2004年に民間を主体にして、「Corporate Governance Task Force, ‘Information Security Governance: Call to Action’」が提起された

• 情報セキュリティは、技術に関わる問題であるばかりでなく、十分なリスク管理、報告、説明責任に関わるビジネスとガバナンスの課題でもある。セキュリティが有効であるためには、役員が、発生しつつある脅威とそれに対する組織の対応を評価する過程に積極的に関与することが必要である

• 取締役会の責任をレビューおよび承認の側面に重点を置いており、最近、取締役会が情報セキュリティに関する戦略的なオーバーサイトを行うべきことを勧告1. 情報および情報セキュリティの組織にとっての重要性を理解する2. 情報セキュリティへの投資について、組織の戦略とリスクプロフィールと

の整合をレビューする3. 包括的な情報セキュリティプログラムの開発ならびに導入を承認する4. プログラムの妥当性ならびに有効性に関して、取締役・役員に定期的な

報告を求める• IBMはこれを受けて2005年に、「Data Governance Council, Oversight of

Information Security」のプロジェクトを編成して概念フレームワークとした• ISACA/ITGIでは、上記の流れを受けて、ITガバナンスのフレームワークをベー

スにして「情報セキュリティガバナンス」を定義した

20

情報セキュリティガバナンスとは• 情報セキュリティガバナンスとは、取締役会と上級役員の

責務である。情報セキュリティは、企業のガバナンスにとって不可欠で透明性を有する部分であり、ITガバナンスフレームワークと整合している必要がある。

• 上級役員は情報セキュリティにより発生する事故によるサービス中断や情報漏えい機密性に対応する責任がある。

• また、取締役会は、情報セキュリティを企業ガバナンスの取り組みの中心的な部分として、IT ガバナンスの目標と整合し、資源を管理するために実施するプロセスと統合する必要がある。

IT ガバナンス協会,『情報セキュリティガバナンス－取締役と役員に対するガイダンス』、第2 版, 2006『情報セキュリティガバナンス－情報セキュリティマネジャに対するガイダンス』, 英文，2007

21


１情報セキュリティガバナンスの定義

２情報セキュリティガバナンスは、企業ガバナンスの部分集合であり、戦略的指針を提供し、目標が達成されることを保証し、適切にリスクを管理し、組織の資源を妥当な形で利用し、企業のセキュリティプログラムが成功したか失敗したかをモニタリングするものである。

３情報セキュリティは、情報のあらゆる側面（口頭、文書、印刷、電子的媒体その他の媒体）および情報の処理（作成されたもの、閲覧されたもの、転送されたもの、保存されたもの、破壊されたもの）を取り扱う

４情報セキュリティは、IT セキュリティ（ITに対する情報セキュリティ）とは対照をなす

出典： IT ガバナンス協会,『情報セキュリティガバナンス－取締役と役員に対するガイダンス』、第2 版, 2006

22


１役員の情報セキュリティガバナンスに対する役割– 包括的な情報セキュリティプログラムの開発と維持

– 方向づけを行うためのフレームワークの確立と維持

２情報セキュリティガバナンスのフレームワークは、一般的に次の要素から構成されている。

– 情報セキュリティガバナンスのリスク管理の方法論

– ビジネス目標およびIT 目標に明確にリンクした包括的なセキュリティ戦略

– 有効なセキュリティ組織構造

– 保護される情報の価値を取り上げたセキュリティ戦略と、その提供

– 戦略、コントロール、規制の各側面に対処するセキュリティポリシー


23

組織の情報セキュリティガバナンス

• 達成目標

– リスク削減• リスクを許容できるレベルにする（情報セキュリティ事故

が起きないようにするなど）

– 情報資産の保護• 情報資産の損失リスク、業務中断、情報資産の悪用、機

密情報の漏えい、情報に適切にアクセスできないための機会損失

• 情報セキュリティを適切にできない場合

– 増加する情報が不正確なことによる損害

– 情報漏えいなどで法律的な責任


24

情報セキュリティガバナンス（日本）

• 社会的責任にも配慮したコーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること。

出典「企業における情報セキュリティガバナンスのあり方に

関する研究会報告書」経済産業省、平成17 年3 月

25

企業における情報セキュリティガバナンスの概念イメージ

出典「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」経済産業省、平成17 年3 月

26

目次

１はじめに






構築

７ COBITの利用

８まとめ

27

ITガバナンスと情報セキュリティガバナンスの関係

ITガバナンス情報セキュリティ

ガバナンス

コーポレートガバナンス

ITセキュリティ

ガバナンス

28

情報セキュリティガバナンスとITガバナンスとの関係

• 情報セキュリティは、IT ガバナンスと整合して

コーポレートガバナンスを支える

– 戦略、概念、計画、導入、運用に統合された、コーポレートガバナンスにとって不可欠な構成要素

– 情報の保護は、マネジメントの戦略の中で検討されるべき主要なリスクの一つであり、ビジネスが成功する重大な要素

– 情報セキュリティガバナンスには、上級役員のコミットメント、セキュリティを意識した文化、良好なセキュリティのプラクティス、さらに方針へのコンプライアンスが必要


29

目次

１はじめに






構築

７ COBITの利用

８まとめ

30

ISOにおけるITガバナンス

• ISO/IEC 38500 - International Standardfor Corporate Governance of IT (IT Governance)

– オーストラリアのITガバナンスの

国内基準AS 8015:2005が国際標準となる

• ITガバナンス関連の検討体制SC7,SC27をベースにITガバナンス関連のプロジェクト

が編成され、国際標準を目指して検討中

– SC7傘下にWGとNP（新規プロジェクト）が編成

– SC27傘下にSP（プロジェクトの検討）が開始

– JTC1にSG（検討グループ）が編成出典：ISO38500

31

ISO38500/AS8015のITガバナンス

• 幹部（組織のガバナンスを実施するメンバで、組織のオーナ、ボードメンバ、パートナー、上級幹部など）は、以下を実行する

(a) 現在と将来のITの利用について評価する

(b) ITの利用が組織のビジネス目標に合致するように計画とポリシを策定し、実施する

(c) ポリシへの準拠と計画に対する達成度をモニタする

出典：ISO38500

32

ISO38500のICTガバナンス

６つの原則:• ICTに対する責任を明確にする• ICTは組織の目的を最大限支援する• ICTの有効性を高める• ICTの可用性を高める• ICTが法令や企業の内部の取決めに準拠す

る• ICTは人的要素を考慮している

出典：ISO38500

33

目次

１はじめに






構築

７ COBITの利用

８まとめ

34

ITガバナンスと情報セキュリティガバナンスのフレームワーク：COBIT

フレームワークは共通

• ビジネス戦略との整合

• 価値の実現

• リスクの管理

• 資源の管理

• 成果の測定

Strate

gic

Alignm

ent Value

Delivery

Risk

M

anag

emen

t

Resource Management

Performance

Measurem

entIT IT

GovernanceGovernanceDomainsDomains

戦略

的整

合価

値の

実現

リス

クの

管理

資源の管理

成果

の測

定IT

ガバナンス

出典：CobiT4.1、ITGI（日本語版）

35

ITガバナンスの構築の進め方

出典： IT ガバナンス協会、IT governance Implementation Guide 2nd Edition, 2006

戦略的整合

成果の測定

価値の実現リスクの管理

資源の管理

36

ITガバナンスの構築の段階プロセス

出典： IT ガバナンス協会、IT governance Implementation Guide 2nd Edition, 2006

37

ITガバナンスの構築：目標の設定


ITガバナンスのサイクル

38

ITガバナンスの構築：ステークホルダとの関係

戦略、プロセス、資源、結果の関係の関係


39

ITガバナンスの構築：PDCAサイクル


40

IT ガバナンスの導入準備

取締役会がIT ガバナンスのオーナーシップを取

り、指針とフレームワークを設定• 検討事項にIT を含める

• IT の問題について議論し、対応策を議論する

• IT 関連のリスクによるビジネスへの影響を評価する

• IT 導入成果を測定して報告される

• IT 戦略委員会を持つ

– 取締役会と経営者の責務を明確にする

• 共通のIT ガバナンスのマネジメントフレームワーク（例、COBIT）を採用する


41

IT ガバナンスの導入計画１

１ IT ガバナンスの組織的フレームワークを設

定し、責務と目標を明確化し、全ての利害関係者の参加を得る

２ IT とビジネスの目標との整合を図る

– コスト削減、競合上の優位性、合併/買収。ビジネス環境、リスク選好度、ビジネス戦略のIT との関連について、十分に理解する

– 経営者の検討課題におけるIT の最重要課題

を特定する


42

IT ガバナンスの導入計画２

３トップマネジメントに対し、ビジネスに導入するIT について、リスクを明らかにする

・過去のIT 導入についての履歴

・現在のIT の組織的な要因

・既存あるいは計画中のIT 環境の複雑さ、規模/範囲

・既存あるいは計画中のIT 環境に内在する脆弱性

・検討中のIT についての検討

開発プロジェクト、アウトソーシングの検討、アーキテクチャ


43

IT ガバナンスの導入計画３

４ ITの対象領域を決定する。

– リスク管理の対象となるIT プロセスを特定する

– COBIT プロセスフレームワークをガイドとして

使用する

５現在のITを分析しギャップを特定する

– 成熟度評価を実施し、改善が最も必要とされている部分を特定する。

– COBIT マネジメントガイドラインをガイドとして

使用する


44

COBIT マネジメントガイドライン成熟度分析について

45

IT ガバナンスの導入計画４

６改善の戦略を策定して、最も優先度の高いプロジェクト（経営面から重要なITのガバナ

ンスの改善）を決定する

– 導入により利益を上げる可能性、および導入の容易さに基づく

– 重要なIT プロセスおよびコアコンピテンシーに

重点を置いて行う

– IT ガバナンスプロジェクトを継続的な改善のイ

ニシアチブの、第一歩とする


46

IT ガバナンスの導入計画５

７結果の測定

– バランススコアカードによる評価方法を確立する

– 新たな改善の結果について、以下をモニタリングする

• 組織的構造は、戦略の導入をサポートするか？

• リスク管理の責務が、組織に組み込まれているか？

• 重要なビジネス情報の創出および共有を促進しサポートするインフラストラクチャは存在しているか？

• 戦略と達成目標が、必要のある組織内の関係者に周知されているか？


47

ITガバナンスの構築：ビジネスとの関係


48

情報セキュリティガバナンスの構築

• 情報セキュリティは、IT ガバナンスと整合し、戦略、概念、計画、導入、運用に統合された、企業ガバナンスにとって不可欠な構成要素である。

• 情報の保護は、マネジメントの戦略の主要なリスクの一つ

• 企業での情報セキュリティを成功させる要因• 情報セキュリティガバナンス• 上級役員のコミットメント• セキュリティを意識した文化• 良好なセキュリティのプラクティス• 方針への準拠性

• 情報セキュリティをアウトソーシングできない理由• 企業の情報セキュリティ文化を変えるより、ソリューションを買う方

が容易であるが、最も安全なシステムであっても、教育を十分に受けず、訓練を受けず、また注意力がなく無関心な人員によって使用された場合には、十分なレベルでのセキュリティを達成することはできない。


49

情報セキュリティガバナンスの構築

• 情報セキュリティは、企業のビジネスプロセスや戦略と明確にリンクした包括的なセキュリティ戦略を必要とするトップダウンのプロセス

• 情報セキュリティは、全ての組織プロセスに対処することが必要

• 情報セキュリティガバナンスは、• トップダウン• 方針を決め組織が統一のとれたセキュリティ戦略• 外部との整合性の必要（情報交換）• セキュリティ標準の利用

• マネジメントとして利用できるフレームワーク、ガイドライン• COBIT• ISO 27000シリーズ• 米国のFIPS 200 やNIST 800-53


50

情報セキュリティガバナンスの構築• 有効なガバナンスを提供には

• 情報セキュリティに関する役割ならびに責任を割り当てる• 全ての人員に対して教育、意識、訓練を行い、セキュリティが確保された行動を

保証する

• セキュリティポリシーの作成/維持• 役割、責任、権限、説明責任の割り振り• セキュリティフレームワーク（標準、指標、プラクティス、手続き）の作成/維持• 定期的なリスク評価およびビジネスインパクト分析• 情報資産の所有者の分類と割り振り• 人、プロセス、技術に対するコントロール• 全ての組織のプロセスに情報セキュリティを統合• セキュリティのモニタリング• 情報セキュリティのインシデント管理• 本人確認ならびにアクセス管理• 全てのユーザ、役員、取締役会の構成員への、情報セキュリティ教育• 年次的に情報セキュリティ評価と、成果レポートを取締役会に提出• 情報セキュリティの欠陥への是正措置の計画• セキュリティプロセスの訓練• 業務継続計画とテスト


51

情報セキュリティガバナンスのフレームワーク


ISMS

52

情報セキュリティガバナンスの構築とフレームワーク

1. 戦略的整合情報セキュリティとビジネスの戦略が戦略的に整合して、組織の目標をサ

ポートしている

2. リスクの管理情報資源に影響を与えるリスクを管理・軽減し、損害がおきても許容可能

なレベルにまで減少する対策

3. 資源の管理情報セキュリティに対する組織内の人やITを効率的かつ有効に利用する

4. 成果の測定情報セキュリティガバナンスの指標を測定し、モニタリングし、またこれにつ

いて報告し、組織の目標が達成されていることを保証している

5. 価値の実現組織の目標をサポートする情報セキュリティ投資を最適化することで、価値

が実現されている


53

ITガバナンスと情報セキュリティガバナンスの構築に向けて

出典： IT ガバナンス協会、IT Control 第2 版, 2006

54

目次

１はじめに






構築

７ COBITの利用

８まとめ

55

CobiTはITガバナンスに最も利用されている


56

COBIT：ITガバナンスのフレームワーク

• CobiTは、ITガバナンスからITのマネージメント、さらに、具体的なITプロセスを繋げるITガバナンスのフレームワーク

IT ProcessesIT ProcessesIT Management ProcessesIT Management ProcessesIT Governance ProcessesIT Governance Processes

CobiTCobiTbest practices repository for

IT ProcessesIT ProcessesIT Management ProcessesIT Management ProcessesIT Governance ProcessesIT Governance Processes

COBITgood practices repository for

利用者のIT利用への期待

利用者の利用者のITIT利用へ利用へ

の期待の期待

57

COBIT:ITとビジネスの関係

有効性

効率性

機密性

完全性

可用性

準拠性

信頼性

資源（人、もの）がITを利用できるように

する

資源（人、もの）が資源（人、もの）がITITを利用できるようにを利用できるように

するする

要件に対してITを利用する

要件に対して要件に対してITITを利用するを利用する

IT プロセスIT プロセスIT 資源

IT 資源

ビジネスの要件

ビジネスの要件

アプリケション

データ

技術（インフラ）

人的資源

計画と組織

調達と導入

サービス提供とサポート

モニタリングと評価

IT P rocesses

B usinessR equ irem ents

IT R esources

IT P rocesses

B usinessR equ irem ents

IT R esources


58

COBITのフレームワーク

調達と導入

サービス提供とサポート

モニタリングと評価

Criteria• Effectiveness• Efficiency• Confidentiality• Integrity• Availability• Compliance• Reliability

• Applications• Information• Infrastructure• People

IT 資源

ビジネスの目標

計画と組織

IT Life Cycle


59

COBITの4つのドメイン

CobiTでは、ITのマネジメントを

４つのドメインに分けているPlan and Organization（計画と組織）

Acquisition and Implementation（調達と導入）

Delivery and Support（サービス提供とサポート）

Monitoring and Evaluation（モニタリングと評価）


60

IT達成目標および ITに関するエンタープライズアーキテクチャの定義


61

IT達成目標の実現に向けたIT資源の管理


62

ITガバナンスと情報セキュリティガバナンスの達成目標

ITガバナンス情報セキュリティガバナンス

不正アクセスに対する脅威


63

ITガバナンスと情報セキュリティガバナンスの成果測定

ITガバナンス



64

IT達成目標と成果の関係


65

まとめ

ITガバナンス、情報セキュリティガバナ

ンスについては、多数のフレームワークがある。CobiTが最も適している。

– ITは経営の重要な一部であり、IT戦略、プロセスへの適用、IT資源配分、モニタリング

が重要

– 組織の幹部が主体的にITガバナンスに関

与することが重要

– 組織内部のITガバナンスについてのPDCAを構築する

66

CobiT実践ガイドのご紹介

日経BPから9月8日に発売

CobiTの実務者向けのガイド

ブック

• コントロール目標

• コントロールの実装

• コントロール間の関係

日本企業の場合を想定して必須、望ましい、なくても良いものに整理

問い合わせ、資料の入手

[email protected]

また、ITGI関連の資料は、

・日本語版：http://itgi.jp/・英語版：http://www.itgi.org/

・経済省情報ｾｷｭﾘﾃｨｶﾞﾊﾞﾅﾝｽ：http://www.meti.go.jp/policy/netsecurity/sec_gov-TopPage.html

その他は、Yahoo, Googleな

どで検索ください67

68

情報セキュリティガバナンス：取締役の責務取締役会は、組織が情報に依存していることを理解しているか

組織が情報セキュリティの価値と重要性を認識し、セキュリティを意識した環境を育むというあるべき経営トップの姿勢を定着させているか

組織にはセキュリティ戦略があるか。もしそうであれば、このセキュリティ戦略はビジネス戦略と整合しているか

取締役会は、規制を遵守していない場合は、組織が賠償責任を負う可能性があることを理解しているか。機密情報が損なわれた場合は、損害賠償が発生する可能性があることを取締役会は理解しているか

組織が大規模なセキュリティのインシデントを被った経験があるか。このインシデントの組織に対するコストは、算定されているか

情報セキュリティが取締役会の基本方針の項目であるか。情報セキュリティプログラムの状態について取締役会に報告するスケジュールがあるか

マネジメントは、情報セキュリティに関して方針声明を発したことがあるか。もしあれば、この方針声明は検討、更新、承認を受けるものか？

最重要の情報が利用不可能になったり、損なわれたり失われたりした場合、組織は営業を続けられるか。収益の損失、顧客の喪失、投資家の信頼の喪失に関して、セキュリティのインシデントがどのような結果をもたらすか。インフラストラクチャが操業停止になったときに、どんな結果が生じるか

情報資産は法律と規制に準拠しているか。取締役会は、準拠性を保証するために、何を始めたか

監査委員会は情報セキュリティにおけるその役割を理解しているか、また、役員および監査人と共に、どのようにして指針を設定しているか

CISO あるいは組織の情報セキュリティの管理を専門に担当する役員がいるか

人員がそのセキュリティについての責任を意識した状態を保証するための、適切な訓練と意識向上プログラムがあるか


69

情報セキュリティガバナンス役員の責務取締役会は、どのようにして情報セキュリティに関する問題について情報を得られる状況を維持しているか。セキュリティのリスクならびにセキュリティの

改善の状況について取締役会に対して行った最後の報告は、いつ行われたか。

情報セキュリティプログラムの作成、導入、管理について責任を負う者として、誰か任命されているか、またこの者には説明責任が常に与えられているか

セキュリティ関連の役割と責任が明確に定義され、周知されているか

CISO、あるいはセキュリティ目標を達成するのに十分な権限と資源をもった役員がいるか

組織はそのネットワークセキュリティをサードパーティによってチェックしてもらったことがあるか

ビジネスインパクト評価が行われたことがあるか

情報セキュリティ資産の重大性ならびに機密性に関して最後にリスク評価が行われたのはいつか。次回のリスク評価はいつの予定か

リスク評価は、最重要の情報が利用不可能になったり、損なわれたり失われたりした場合、組織は営業を続けられるかという問題を考慮しているか。収益の損失、顧客の喪失、投資家の信頼の喪失に関して、セキュリティのインシデントがどのような結果をもたらすか、リスク評価はカバーしているか。リスク評価は、インフラストラクチャが操業停止になったときに、どんな結果が生じるかを判断しているか

CEO が、情報セキュリティ評価を要請しており、結果をスタッフと検討し、取締役会に報告しているか

情報セキュリティのインシデント/緊急事態に対処する、有効で実証済みのプロセスがあるか

業務継続/災害復旧計画が実施されているか。この計画は実際の状況で検証されているか。定期的にテストが行われているか

リスク評価は、どの情報資産が法律と規制に準拠しているかを考慮しているか。リスク評価は、法律と規制への準拠性を保証するための十分な手続きにつながっているか

情報セキュリティのリスク評価は、IT マネジメントおよびビジネスマネジメントの会合で通常基本方針の項目であるか。役員は改善のイニシアチブを追求しサポートしているか

組織にはセキュリティ戦略があるか。もしそうであれば、このセキュリティ戦略はビジネス全体の戦略と緊密に整合しているか

情報セキュリティとビジネス目標の整合を保証するための、現在行われているプロセスがあるか

人員がそのセキュリティについての責任を意識した状態を保証するための、適切な訓練と意識向上プログラムがあるか

情報資産が十分に保護されていることを保証するための、情報資産分類プロセスが実施されているか


ITガバナンスと情報セキュリティガバナンスの構築...

Documents

Transcript of ITガバナンスと情報セキュリティガバナンスの構築...

ITガバナンスと情報セキュリティガバナ ンスの構築...

Documents

Transcript of ITガバナンスと情報セキュリティガバナ ンスの構築...

ITガバナンスと情報セキュリティガバナンスの構築...

Transcript of ITガバナンスと情報セキュリティガバナンスの構築...