« 総務省 「政府情報システムの整備の在り方に関する研究会」中間取りまとめ | Main | マイクロソフト セキュリティウォーズ by IT弁護士 »

2009.08.22

経済産業省 情報セキュリティガバナンス実態調査2008

 こんにちは、丸山満彦です。花田先生のブログにいつも先をこされていますが・・・経済産業省が、「情報セキュリティガバナンス実態調査2008」を公表していますね。。。報告書の日付は2009年3月どす。。。

 
■経済産業省
・2009.08.17 情報セキュリティガバナンス実態調査2008の公表について
 ・・調査報告書

 
インタビュー結果から見えるベストプラクティスです。。。参考になると思います。。。

=====
● リスクの見える化、特に事敀事例に基づいて損失額、損害額を算出すると、経営者にとって大きなインパクトを与えることができる。
● セキュリティに関する規則を作る場合には、現実的な規則、無理せず守ることが可能な規則としてまとめることが重要。
● 情報技術、情報セキュリティに関する一定の知見のある社員が、他の社員を支援するような助け合いの仕組みを作ることができると、後は自然とセキュリティレベルが高まる。
● 情報セキュリティは自分達の課題であることを社員が認識するような方向に啓発を行う。
● 教育は難しいが効果も高い。定期的な講習を義務付け、受講率を上げていくことが成功の秘訣。
● 情報セキュリティ責任者、担当者だけでなく、各部署に自覚を持つ社員を配置、あるいは、そのような人材を育てていくことで、全体として情報セキュリティ意識の高い組織とすることができる。
● 重要情報の種類を明確に定義した上で、それぞれの情報についての取り扱いをルールとして規定・周知している。
● セキュリティに対する細かな繰り返しのチェックを通じて、社員全体にセキュリティに対する行動の習慣付けを行い、「情報セキュリティ体質」を作るように取り組んでいる。
● セキュリティ担当者には、通常の職員とITの職員から複数ずつ出させることで、孤立しがちなセキュリティ担当者がお互いに相談できる体制を構築することも重要。
● 委託先の管理については、委託先において、発注先の協力会社が情報の取扱いが十分かどうかというようなチェックリストを使用し、業務着手前後及び、委託業務が終わった時にチェックするような仕組みを構築している。
● 情報セキュリティに対する対策と対策進捗状況を経営者に定期的に報告することにより、経営者の情報セキュリティへの関心と重要な経営課題としての位置づけを維持し、情報共有を行うことができる。
● 世の中の動向をモニタリングして判断基準(ルール)を定期的に見直すことに併せて、社内の情報セキュリティ実態調査を定期的に行うと、ルールの遵守の実態や情報セキュリティ対策の効果を評価するのに有効。
● 過去の事敀情報を事例的に組み込んだ教材を作成して教育を行うと、説得力があり、意識を高めてもらうのに効果的
=====

目次をちょっと省略したものです。
=====
第1章 情報セキュリティへの取り組み
<インタビューの概要>
<インタビューにあたって>
<インタビュー結果から見えるベストプラクティス>
1.1. 経営層の理解と関心、あるいは経営課題への組み込み
1.2. 社内への啓発・教育
1.3. 予算、要員の確保、人材の育成とセキュリティ、キャリアパス、投資の把揜とその効果に対する評価

1.4. グループガバナンスとしての国内外のグループ企業のセキュリティ管理、アウトソーシング先へ渡した情報のマネジメント
1.5. お客様から預かった情報の管理、研究、営業、財務等のいわゆる企業情報の管理
1.6. 改正金融商品取引法、会社法による内部統制システム構築
1.7. 情報漏洩等の深刻な情報セキュリティ事敀発生後の課題、予兆に関わる課題
1.8. パソコンの取り扱いに関わる諸問題
1.9. BCP(事業継続計画)への取組

第2章 情報セキュリティガバナンスの現状と課題
2.1. セキュリティポリシーの変化と事敀の原因
2.2. 経営者の理解と関心、あるいは経営誯題への組み込み
2.3. 情報セキュリティ教育および啓発
2.4. 予算、要員の確保、人材育成、キャリアパス
2.5. グループガバナンス、委託先へ渡した情報の管理
2.6. お客様から預かった情報の管理、企業情報の管理
2.7. 改正金融商品取引法、会社法による内部統制システム構築
2.8. 情報セキュリティ事敀発生後の課題、予兆に関わる課題
2.9. パソコン、その他情報機器の取り扱いにかかわる諸問題
2.10. その他(事業継続計画BCP他)

参考資料:①アンケート調査票
参考資料:②アンケート結果集計表
参考資料:③インタビュー調査テーマ(カテゴリー表)
=====

|

« 総務省 「政府情報システムの整備の在り方に関する研究会」中間取りまとめ | Main | マイクロソフト セキュリティウォーズ by IT弁護士 »

Comments

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/45998988

Listed below are links to weblogs that reference 経済産業省 情報セキュリティガバナンス実態調査2008:

« 総務省 「政府情報システムの整備の在り方に関する研究会」中間取りまとめ | Main | マイクロソフト セキュリティウォーズ by IT弁護士 »