情報セキュリティをマネジメントする

「内部統制評価基準 勝ち抜く会社の800のポイント」を活用した内部統制の仕組みづくりでは、内部統制に関わる組織経営のプロセスを８つの側面（カテゴリ）に分けて、質問を通じて具体的に仕組みに落とし込んでいきます。

カテゴリ６．情報セキュリティについて見ています。

情報セキュリティの取り組みについて、トップからパート、アルバイトを含む社員まで、さらには業務委託先などのパートナーまで、その重要性を共有することから始めます。

情報セキュリティへの取り組みは次のフェーズに分かれています。

特定（ID）→防御（PR）→検知（DE）→対応（RS）→復旧（RC）

それぞれのフェーズにどのように取り組むか、手順を明確にし、文書にまとめ、運用します。

６．（２）情報セキュリティに関するマネジメントシステムの確立
情報セキュリティは、規程類（マネジメントシステム文書）を整備し、手順を明確にし、運用し、見直しをするマネジメントシステムとして確立していますか。
６．（３）情報セキュリティに関するマネジメントシステムの実行
情報セキュリティについて、責任者を明確にし、対象情報の特定、各情報のリスクを把握・共有するようなマネジメントシステムを実行していますか。

情報セキュリティのマネジメントシステムについては、経済産業省が「サイバーセキュリティ経営ガイドライン」としてそのフレームワークを提示しています。
また、独立行政法人情報処理推進機構（IPA）がサイバーセキュリティ経営ガイドラインの内容を中小企業向けに編集して、「中小企業の情報セキュリティ対策ガイドライン」を公開しています。

いずれも、情報セキュリティマネジメントのフレームワークの国際標準ISO/IEC 27001に準拠し、米国NISTのサイバーセキュリティフレームワーク（CSF）を参照しています。
前者は、脅威やリスクの「特定」や「防御」といったサイバーセキュリティの予防に力点がおかれており、後者は実際に攻撃を受けたときの「検知」や「対応」、「復旧」といった事後対応も含まれており、その両方を取り入れたものとなっています。

「中小企業の情報セキュリティ対策ガイドライン」では、経営者に、以下の３原則を認識し、対策を進めることを求めています。

認識すべき「３原則」
１．情報セキュリティ対策は経営者のリーダーシップで進める
２．委託先の情報セキュリティ対策まで考慮する
３．関係者とは常に情報セキュリティに関するコミュニケーションをとる
（出典：「中小企業の情報セキュリティ対策ガイドライン第3版」（IPA））

その上で、経営者は、以下の７項目を自ら実践するか、実際に情報セキュリティ対策を実践する責任者・担当者に対 して指示し、確実に実行することを求めています。

実行すべき「重要7項目の取組」
１．情報セキュリティに関する組織全体の対応方針を定める
２．情報セキュリティ対策のための予算や人材などを確保する
３．必要と考えられる対策を検討させて実行を指示する
４．情報セキュリティ対策に関する適宜の見直しを指示する
５．緊急時の対応や復旧のための体制を整備する
６．委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
７．情報セキュリティに関する最新動向を収集する
（出典：「中小企業の情報セキュリティ対策ガイドライン第3版」（IPA））

「できるところから始める」ことが大切です。

★★

内部統制評価基準改訂版「内部統制評価基準 勝ち抜く会社の800のポイント」については、NPO法人内部統制評価機構のウェブサイトをご覧ください。

NISTのサイバーセキュリティに関する文書は、IPAに「セキュリティ関連NIST文書」として日本語版で掲載されています。