SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

図解!基礎から学び直す情報セキュリティ入門

情報セキュリティ対策には、経営陣のコミットメントが不可欠--情報セキュリティマネジメントとガバナンスの考え方

■第7回

 前回は、リスク対応と情報セキュリティにおける対策の種類やあり方について説明しました。前回で説明した通り、情報セキュリティ対策の決定はリスクアセスメントの結果によって行われます。そして、決定した情報セキュリティ対策は、適切なフレームワークや体制で実施されなければなりません。そのために必要となるのが「情報セキュリティマネジメント」と「ガバナンス」です。今回は、その情報セキュリティマネジメントとガバナンスの考え方について解説します。  

情報セキュリティマネジメントとガバナンスの考え方

 「情報セキュリティマネジメント」とは、組織の情報セキュリティ対策を包括的かつ体系的に、さらに継続的に実施する活動のことです。

 「情報セキュリティガバナンス」とは、情報セキュリティマネジメントと同様に組織の情報セキュリティ対策の活動ですが、さらに上位の概念であり、情報セキュリティマネジメント活動を含む経営活動の一つです。

 情報セキュリティを確保するためは、組織の情報セキュリティに関する要素を包括的かつ体系的な視点で評価し、対策を講じ、継続的に管理していく必要があります。そのためには、情報セキュリティマネジメントとガバナンスの体制を構築し、そのフレームワークを参照し、活用することで効率的かつ効果的な情報セキュリティ活動を実現できることになります。

情報セキュリティマネジメントのフレームワーク

 情報セキュリティマネジメントでのフレームワークは、情報セキュリティマネジメントシステム(ISMS:Information Security Management System)と呼ばれています。

 情報セキュリティマネジメントシステムは、プロセスによって管理されます。この際に使われるプロセスが「PDCAサイクル」です。PDCAサイクルは、「Plan(計画)」-「Do(実行)」-「点検(Check)」-「処置(Act)」という4つのフェーズに分かれています。

 この4つのサイクルで実施することは、以下の表の通りです。

図1:情報セキュリティマネジメント

 PDCAという基本サイクルにより、情報セキュリティの活動が計画(P)され、計画に基づいた実行(D)がされます。さらに、その運用状況は点検(C)され、その結果に基づき改善などの処置(A)が行われます。これを継続的に行うことにより、組織の情報セキュリティ対策を包括的かつ体系的に実施することが可能になります。

 情報セキュリティマネジメントを構築・運用するためには、一般にJIS Q 27001(ISO/IEC 27001)という規格が参照されます。なお、ISO/IEC27001は、2013年9月に改定されました。これに伴い、JIS Q 27001も2014年に改訂が予定されています。

次のページ
情報セキュリティガバナンスの定義とフレームワーク

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
図解!基礎から学び直す情報セキュリティ入門連載記事一覧

もっと読む

この記事の著者

株式会社ラック 長谷川 長一(カブシキガイシャラック ハセガワ チョウイチ)

株式会社ラック セキュリティアカデミー  プロフェッショナルフェローソフトバンク、日本ユニシスを経て、現職。情報セキュリティコンサルティング、情報セキュリティ監査業務を経て、現在は主にセキュリティ教育業務を担当。政府機関やIT資格団体等の委員も務めている。主な所有資格は、CISSP。主な著書(共著)は、「情報セキュリティプ...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/5418 2013/12/10 07:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング