情報セキュリティマネジメントとガバナンスの考え方
「情報セキュリティマネジメント」とは、組織の情報セキュリティ対策を包括的かつ体系的に、さらに継続的に実施する活動のことです。
「情報セキュリティガバナンス」とは、情報セキュリティマネジメントと同様に組織の情報セキュリティ対策の活動ですが、さらに上位の概念であり、情報セキュリティマネジメント活動を含む経営活動の一つです。
情報セキュリティを確保するためは、組織の情報セキュリティに関する要素を包括的かつ体系的な視点で評価し、対策を講じ、継続的に管理していく必要があります。そのためには、情報セキュリティマネジメントとガバナンスの体制を構築し、そのフレームワークを参照し、活用することで効率的かつ効果的な情報セキュリティ活動を実現できることになります。
情報セキュリティマネジメントのフレームワーク
情報セキュリティマネジメントでのフレームワークは、情報セキュリティマネジメントシステム(ISMS:Information Security Management System)と呼ばれています。
情報セキュリティマネジメントシステムは、プロセスによって管理されます。この際に使われるプロセスが「PDCAサイクル」です。PDCAサイクルは、「Plan(計画)」-「Do(実行)」-「点検(Check)」-「処置(Act)」という4つのフェーズに分かれています。
この4つのサイクルで実施することは、以下の表の通りです。
PDCAという基本サイクルにより、情報セキュリティの活動が計画(P)され、計画に基づいた実行(D)がされます。さらに、その運用状況は点検(C)され、その結果に基づき改善などの処置(A)が行われます。これを継続的に行うことにより、組織の情報セキュリティ対策を包括的かつ体系的に実施することが可能になります。
情報セキュリティマネジメントを構築・運用するためには、一般にJIS Q 27001(ISO/IEC 27001)という規格が参照されます。なお、ISO/IEC27001は、2013年9月に改定されました。これに伴い、JIS Q 27001も2014年に改訂が予定されています。
