情報セキュリティマネジメント

情報セキュリティマネジメントは、多様な情報資産の保護に焦点を当て、物理的資産、ソフトウェア資産、人的資産、無形資産を含む広範な範囲をカバーします。まだ起こっていないことがリスクであり、起こってしまったことが問題です。また、リスクを金額で分析するのが定量的リスク分析です。監査証拠を集めて監査調書を作成し、監査報告書にまとめます。情報セキュリティ事象が発生した際は、管理者への報告が義務付けられており、セキュリティポリシを通じて基本方針と対策基準が設定されます。これらのポリシは各種規程類で具体的な手順として明記され、情報資産は情報資産台帳を用いて管理され、常に最新の状態に更新されます。情報資産はグループごとにまとめて管理することで、管理効率を向上させます。
個人情報保護法では、利用目的の特定と、窓口の設置などを義務付けています。内閣サイバーセキュリティセンターが、政府機関の情報セキュリティ対策のための統一基準を発表しました。また、ISMS（情報セキュリティマネジメントシステム）では、トップマネジメントのリーダーシップが重要視され、JIS Q 27001の要求事項やJIS Q 27002の実践規範に基づいて運用されます。災害時の対策には、即時の暫定対策と長期的な対策の両方が計画され、日頃からのバックアップなどの準備が災害対策の一環として行われます。
著作権法では、著作権は実際に著作を作成した個人（または会社）に帰属します。また、リスクアセスメントにおいては、リスクの特定、分析、評価が行われ、リスク所有者が定められます。監査証跡は信頼性、安全性、効率性をコントロールします。リスク対応は、リスクテイク、回避、共有（移転）、保有（受容）の四つの選択肢に分けられ、リスクファイナンシングでは、リスクに金銭的に対応します。システム監査基準は行動規範、具体的な尺度は管理基準です。また、PMS（個人情報保護マネジメントシステム）やサイバーセキュリティ基本法が個人情報の保護と国のサイバーセキュリティ強化のために設けられています。
法的観点からは、不正アクセス、電子計算機損壊等業務妨害、ウイルス作成が処罰の対象とされ、ソフトウェアの脆弱性情報の取扱いや著作権法が情報セキュリティの一環として重要視されます。営業秘密は秘密管理性、有用性、非公知性を満たす必要があります。営業秘密の保護、監査の実施、内部統制、ITガバナンスなども組織のセキュリティ体制を強化するために不可欠です。