ここでは、「経営者への五つの問いかけ」をベースにしたまとめを見ていきます。
経営層の役割
企業、組織がサイバー攻撃や内部犯行、過失といった情報セキュリティリスク管理をおこなうこと。
リスク管理
「事業継続性」に影響のあるリスクを抑えること。
発生したリスクに対してその影響を受容能なレベルに抑えること。
企業や組織がその事業継続性を高めるため、ITシステムへの依存度が高まると同時に、リスク発生の危険性も高まります。
また依存度が大きければ大きいほど、リスクが現実となった場合の事業継続性へのインパクトも大きくなります。
リスクの発生を抑えること、リスクが起こった場合の対応を適切に行うことが、経営者としての責任です。
① 経営層は自社の事業に対する情報セキュリティリスクに関する現状、及びその影響度がどのように特定されているかを把握しているか?
自社にとってのリスクがどのように特定されているか?Howを意味しています。
この問いは、リスク発生を抑える責務を実行するための第一歩です。
目標は、「事業継続性」にインパクトを与えるリスクをコントロールすることで、ルールを作ることではありません。
「現状及びその影響度がどのように特定されているかを把握」とは、情報資産を特定し、それが失われる可能性、及び失われた場合の影響を明確化することがどのように行なわれているかを具体的に把握することです。
どのような考え方でリスク管理が行なわれているのか?
それが適切であるのか?
そのことをまず把握すべきであるという問いかけです。
② 自社の情報セキュリティに関する現在の具体的なリスクとそのビジネスに対する影響度は何か?
このリスクに対して具体的にどのように対応しているか?
この問いかけではWhatを意味しています。
①で得られた考え方に基づき、実際のリスクが何であるのか、具体的に特定されているのか、特定したリスク対策がどのように立てられているかを把握することを問われているのです。
社内規定の整備、ISMS導入といったいわゆるリスクを抑えるための内部統制整備だけを意味しているのではありません。
内部統制だけに目がいくと網羅的に対応しようとしがちになり、その結果、規定類が細かくなってしまいます。
細かすぎる規定では、現場で守られないといったことが発生し、結果リスクの高まりが生じます。
これらを防ぐためにも、①の考え方に基づいた守るべきことに対する優先度付けにより、対策を絞り込み、現場で実施可能なシンプルさを保つことが必要です。
ツールやシステムの導入、効果測定の実施も整備する必要があります。
③ 自社の情報セキュリティプログラムは、業界標準とそのベストプラクティスをどのように活用しているか?
情報セキュリティの分野では、リスクの発生そのものが頻発してはなりません。
そのため、自社の経験知をその対策にフィードバックすることが難しく、自社単独で自己流に情報セキュリティへの対策を構築することが困難なものとなっているのです。
それぞれの業務に特有のリスクもあります。
重大なインシデントは、その都度それまでにない新たなものであることがほとんどで、情報セキュリティ対策の網羅性を単独で用意することは、不可能と言ってもよいでしょう。
社会環境の変化、技術の進歩などの影響で、セキュリティ脅威そのものも変化します。
新たな脅威も随時発生します。
そこで活用すべきは、外部の情報です。
ISMSやPCIDSS、公的機関やセキュリティベンダーからの情報などを参考にするほか、これらが自社に適切に活用されているのか、定期的にレビューする必要があります。