情報セキュリティガバナンス

経営者は、企業組織を適切に管理し、収益を上げるという大変難しい仕事をこなしていかないといけません。
ITに関しても、ITにまつわるリスクに対してどのように対処していくかを経営者自らが「統治」していくことが重要になっています。

情報セキュリティガバナンスは以下のように策定していくことになります

情報セキュリティとは、本来はコストではなく、企業が事業目的を達成することを妨げる様々なリスクに対処するためのものです。そのため、情報セキュリティ戦略とは、経営者が定める事業の戦略と合致するように策定していく必要があります。

そのためには、①企業の事業目的と合致した情報セキュリティ方針を決め②明確な達成目標を立てて情報セキュリティ戦略を策定します。③そしてその戦略に従って、組織の事業や活動目標などの中で管理できるれべるまでリスクを管理していきます。

この一連の作業を経営者として実施者をサポートし、情報セキュリティの態勢を構築するのが情報セキュリティガバナンスとなります。

企業ごとに組織文化も異なりますし、リスクを容認する度合いも異なってきます。そのため情報セキュリティガバナンスは、企業の文化、事業の目的、リスクの許容度などによって自社オリジナルのものを作り上げていかなければなりません。

忘れてはいけないのはセキュリティの目的は情報システムに対するリスクを「ゼロ」にすることではないということです。リスクを恐れるあまり、新たな事業展開を妨げたり、過度に人々を縛り付けるものであってはいけません。セキュリティの目的は、組織の業務をサポートし、組織が保持する資産を保護し、組織が継続して存在することを確実にすることです。

情報セキュリティガバナンスを通じて、業務とリスク対策のバランスを取りながらセキュリティ対策を実施することが肝要です。

情報システム監査人は、経営の立場からITガバナンス、情報セキュリティガバナンスの構築を支援する専門家です。ITを導入したいが何から手を付けたらいいかわからない、情報セキュリティ対策をしたいが何をどこまですればいいのかわからないといったお悩みをお抱えの経営者・IT担当者の方はぜひ弊社にご連絡ください。ガバナンスの構築からポリシー等の策定、戦略の策定と評価まで一貫してサポートさせていただきます。