前回は、リスク対応と情報セキュリティにおける対策の種類やあり方について説明しました。前回で説明した通り、情報セキュリティ対策の決定はリスクアセスメントの結果によって行われます。そして、決定した情報セキュリティ対策は、適切なフレームワークや体制で実施されなければなりません。そのために必要となるのが「情報セキュリティマネジメント」と「ガバナンス」です。今回は、その情報セキュリティマネジメントとガバナンスの考え方について解説します。
情報セキュリティマネジメントとガバナンスの考え方
「情報セキュリティマネジメント」とは、組織の情報セキュリティ対策を包括的かつ体系的に、さらに継続的に実施する活動のことです。
「情報セキュリティガバナンス」とは、情報セキュリティマネジメントと同様に組織の情報セキュリティ対策の活動ですが、さらに上位の概念であり、情報セキュリティマネジメント活動を含む経営活動の一つです。
情報セキュリティを確保するためは、組織の情報セキュリティに関する要素を包括的かつ体系的な視点で評価し、対策を講じ、継続的に管理していく必要があります。そのためには、情報セキュリティマネジメントとガバナンスの体制を構築し、そのフレームワークを参照し、活用することで効率的かつ効果的な情報セキュリティ活動を実現できることになります。
情報セキュリティマネジメントのフレームワーク
情報セキュリティマネジメントでのフレームワークは、情報セキュリティマネジメントシステム(ISMS:Information Security Management System)と呼ばれています。
情報セキュリティマネジメントシステムは、プロセスによって管理されます。この際に使われるプロセスが「PDCAサイクル」です。PDCAサイクルは、「Plan(計画)」-「Do(実行)」-「点検(Check)」-「処置(Act)」という4つのフェーズに分かれています。
この4つのサイクルで実施することは、以下の表の通りです。
PDCAという基本サイクルにより、情報セキュリティの活動が計画(P)され、計画に基づいた実行(D)がされます。さらに、その運用状況は点検(C)され、その結果に基づき改善などの処置(A)が行われます。これを継続的に行うことにより、組織の情報セキュリティ対策を包括的かつ体系的に実施することが可能になります。
情報セキュリティマネジメントを構築・運用するためには、一般にJIS Q 27001(ISO/IEC 27001)という規格が参照されます。なお、ISO/IEC27001は、2013年9月に改定されました。これに伴い、JIS Q 27001も2014年に改訂が予定されています。
この記事は参考になりましたか?
- この記事の著者
-
株式会社ラック 長谷川 長一(カブシキガイシャラック ハセガワ チョウイチ)
株式会社ラック セキュリティアカデミー プロフェッショナルフェローソフトバンク、日本ユニシスを経て、現職。情報セキュリティコンサルティング、情報セキュリティ監査業務を経て、現在は主にセキュリティ教育業務を担当。政府機関やIT資格団体等の委員も務めている。主な所有資格は、CISSP。主な著書(共著)は、「情報セキュリティプ...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
