ポリシーの形骸化が新たなリスクに 守るべき情報資産に対して適切な管理を実施するための情報セキュリティポリシーの形骸化が大きなリスクとして認識されています。この問題の本質はポリシー、スタンダード、プロシージャ等の文書レベルの問題ではなく、運用・管理する人の問題とも言えます。言い換えれば、管理策とリスク認識の紐付けが明確化されていない状況で発生する傾向があります。 また、リスクレベルと管理策の不整合（過度な安全管理ルールの適用や管理措置の欠陥等）によるセキュリティホール化を助長します。まずは情報セキュリティリスクを的確に捉え、リスクレベルを分析し、現状の管理策を評価すること。その上で、リスクレベルに相応した適切な管理策の適用とルールの周知・徹底、必要となる教育、訓練の実施、モニタリング・監査による点検と見直し。言うまでもなくマネジメントサイクルを如何に定着させるかがポイントでしょう。 当社では、こうした情報セキュリティリスクの分析・評価からIT統制環境の最適化に向けた支援を実施しています。 内部統制におけるリスクマネジメントとの連動 平成17年3月「企業における情報セキュリティガバナンスのあり方に関する研究会」（座長：土居範久中央大学教授）報告書において、情報セキュリティガバナンスとは、「コーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」と定義されました。 その後、具体策として、情報セキュリティ対策ベンチマークの活用や企業の情報セキュリティの取組の中でも社会的関心の高いものについて情報開示することにより、当該企業の取組みが顧客や投資家などのステークホルダーから適正に評価されることを目指す「情報セキュリティ報告書」のガイドラインも示されています。 情報セキュリティへの取組みは、適切なリスク管理による“利益の保護”と、ステークホルダーへの開示をもって“企業価値の向上”という大きな成果に結びつくものと考えます。 お問い合せ 東京：03-3505-3975（人材情報センター内） 神戸：078-222-7710 担　当：チーフアドバイザー　目木（メキ）まで メール：meki@dcn.co.jp