#忘れるためのニュースメモ

情報セキュリティガバナンスの5力とは − ＠IT情報マネジメント
　事故前提とは、事故を完全にゼロにはできない現実を受け入れる考え方であり、事故を起こさないという極めて分かりやすい目標に変えて、合理的な対策を行うという難解な目標を掲げることを意味する。この考え方の背景には、「リスクを評価する」というリスク認識があり、「リスクに応じた対応をする」というリスクマネジメントの思想がある。つまり、情報セキュリティガバナンスとは、組織のリスク統治能力のことである。
　企業の社会的責任を果たす情報セキュリティガバナンスには、企業を取り巻く利害関係者からの以下のような質問に的確に答えられる必要がある。

その企業にとって、情報セキュリティ対策をどこまでやれば良いかが合理的に決められているか
リスクマネジメント的にいえば、許容リスクレベルが明確に定められており、その決定が合理的で利害関係者から支持を得られるものであるか

合理的に定めた目標を達成するための組織や体制が明確か

上で定められたレベルを達成するための具体的な施策が計画され、業務手順に組み込まれて実施されているか
その企業のリスク対応策が的確に検討され、決定されたリスク低減策は実務に組み込まれて機能しているか

目標としたレベルの達成が確認されているか
リスク対応の結果が監査等で的確に検証され、課題については改善の取り組みが的確に行われており、レベルの維持･向上が見込めるか

これらの取り組みが外部の利害関係者に的確に説明され理解を得ているか

　このリスク統治能力は、「設計力」「実装力」「運用力」「管理力」そして「表現力」の5つの力で表される。これをここでは「情報セキュリティガバナンス5力」と呼ぶことにしよう。