情報セキュリティガバナンスのあり方
経済産業省から「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」が公開された。セキュリティ投資評価の話から事業継続計画(BCP/DR)の話まで幅広いテーマを、企業の社会責任という文脈でまとまりのある報告書として仕上げている。
提案されている対策ベンチマークについては、企業等でうまく活用できるのではないだろうか。日本特有の横並びを気にする風土を考えれば自社が他社と比較してどのような位置にあり、具体的に不足している項目などが明確にすることができるので、必要予算確保のための説明資料として利用できるだろう。セルフチェックのためのWebツールの公開が待ち遠しい。
事業継続計画についてはその概念や一般的な手順を紹介するにとどまっているが、日本ではまだまだ浸透していないこともあり、啓蒙の効果はあるだろう。
今回の報告内容については広い範囲で適用し、改善を継続していけば有用なリソースとなるのではないだろうか。対象を「企業における」と限定せず経済産業省が自らが手本として、情報セキュリティベンチマークのセルフチェック結果や、情報セキュリティ報告書、事業継続計画を公開するとより説得力が増すだろう。
ちなみに、発表資料の「企業における情報セキュリティガバナンスのあり方に関する研究会報告書の取りまとめ・公表について(PDF形式:1,914KB)」の途中からデジャブー現象に見舞われるのは私だけだろうか。手元のAcrobatでは20ページの報告書(概要)が2回繰り返されているように見える。
(4/4追記:再度確認したところファイル容量が約半分の正しいファイルに置き換えられた模様。ただしファイルサイズが実際には972.24KBだが1,914KBの表示のままとなっている。)
【参考情報】
■企業における情報セキュリティガバナンスのあり方に関する研究会報告書(経済産業省)
http://www.meti.go.jp/report/data/g50331dj.html
■企業における情報セキュリティガバナンスのあり方に関する研究会報告書の取りまとめ・公表について
http://www.meti.go.jp/press/20050331004/20050331004.html
■経産省、3つのツールで「社会的責任としてのセキュリティ」を支援(ITmedia)
http://www.itmedia.co.jp/enterprise/articles/0503/31/news072.html
セキュリティ診断チェックリスト
企業のセキュリティ状態を診断するための、簡単なチェックリストをつくりました。参考にしてください。