ゼイタックス

経営関連情報 (2005/04/04)

企業における情報セキュリティガバナンスとは?

 経済産業省は、企業における情報セキュリティ対策を抜本的に強化するための新しい概念である「情報セキュリティガバナンス」について、昨年9月から研究会を開催し検討を進めていたが、このほど報告書をとりまとめ3月31日に公表した。報告書は、企業一社のIT事故によるトラブルが社会全体に波及する可能性があることから、企業に対し、IT社会を構成する一員として適正な情報セキュリティ対策への取組みを求めている。

 報告書は、「情報セキュリティガバナンス」について、社会的責任にも配慮したコーポレートガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用することと定義。そのあり方や確立を促進するため、1)情報セキュリティ対策ベンチマーク、2)情報セキュリティ報告書モデル、3)事業継続計画(BCP)策定ガイドラインの3つの施策ツールを提言している。

 情報セキュリティ対策ベンチマークは、自社の情報セキュリティ対策実施状況を把握する自己診断ツール。情報セキュリティ報告書モデルは、情報セキュリティポリシーやそれを実現する内部統制の仕組み、第三者評価など、社会的関心の高い項目について対外的に公表するための報告書モデル。また、ガイドラインは、IT事故を想定したBCPの策定手順や検討項目などを解説したもの。

 経産省では、研究会の提言を受けて、情報セキュリティ対策ベンチマークを利用した自己診断サイトの開設や、政府調達における入札基準への活用に係る検討などを通じて、上記の施策ツールの普及を図り、わが国における企業の情報セキュリティガバナンスの実装に向けた取組みを促進していく考えだ。

 同報告書の詳細は↓
 http://www.meti.go.jp/report/data/g50331dj.html