専門家の関わる企業が対象となることから 母集団の企業は国内の平均的な企業というよりも セキュ リティマネジメントに関して比較的意識の高い企業と推定されます 対象組織の産業分野

Similar documents
目次 4. 組織 4.1 組織及びその状況の理解 利害関係者のニーズ 適用範囲 環境活動の仕組み 3 5. リーダーシップ 5.1 経営者の責務 環境方針 役割 責任及び権限 5 6. 計画 6.1 リスクへの取り組み 環境目標

回答者のうち 68% がこの一年間にクラウドソーシングを利用したと回答しており クラウドソーシングがかなり普及していることがわかる ( 表 2) また 利用したと回答した人(34 人 ) のうち 59%(20 人 ) が前年に比べて発注件数を増やすとともに 利用したことのない人 (11 人 ) のう

品質マニュアル(サンプル)|株式会社ハピネックス

<4D F736F F F696E74202D2091E6368FCD5F95F18D908B7982D D815B >

ISO9001:2015内部監査チェックリスト

ISO 9001:2015 改定セミナー (JIS Q 9001:2015 準拠 ) 第 4.2 版 株式会社 TBC ソリューションズ プログラム 年版改定の概要 年版の6 大重点ポイントと対策 年版と2008 年版の相違 年版への移行の実務

組織内CSIRTの役割とその範囲

スキル領域 職種 : マーケティング スキル領域と MK 経済産業省, 独立行政法人情報処理推進機構

どのような便益があり得るか? より重要な ( ハイリスクの ) プロセス及びそれらのアウトプットに焦点が当たる 相互に依存するプロセスについての理解 定義及び統合が改善される プロセス及びマネジメントシステム全体の計画策定 実施 確認及び改善の体系的なマネジメント 資源の有効利用及び説明責任の強化

JIS Q 27001:2014への移行に関する説明会 資料1

ISO9001:2015規格要求事項解説テキスト(サンプル) 株式会社ハピネックス提供資料

最終デジタル化への意識調査速報

<4D F736F F F696E74202D FA8C6F B938C8FD888EA95948FE38FEA8AE98BC6817A81758A4F8D91906C97AF8A7790B682CC8DCC977082C693FA967B8CEA945C97CD82C98AD682B782E992B28DB881768C8B89CA838C837C815B83678DC58F4994C52E70707

ISMS情報セキュリティマネジメントシステム文書化の秘訣

[ 指針 ] 1. 組織体および組織体集団におけるガバナンス プロセスの改善に向けた評価組織体の機関設計については 株式会社にあっては株主総会の専決事項であり 業務運営組織の決定は 取締役会等の専決事項である また 組織体集団をどのように形成するかも親会社の取締役会等の専決事項である したがって こ

CSR(企業の社会的責任)に関するアンケート調査結果《概要版》

修-CIA Exam Change Handbook_FAQs_ indd

組織内CSIRT構築の実作業

<4D F736F F D F815B B E96914F92B28DB8955B>

16年度第一回JACB品質技術委員会

大塚製薬(株)佐賀工場


(2) 予定される行動計画導入方法 ( 問 21 で 2 策定に向けて検討中である と答えた方へ ) 付問 1 一般事業主行動計画は どのような方法で導入する予定ですか ( はいくつでも ) 次世代育成支援対策推進法に基づく 一般事業主行動計画 を策定に向け検討中の事業所で どのような方法で導入する

パラダイムシフトブック.indb

Microsoft Word - 内部統制システム構築の基本方針.doc

英語活用実態調査(企業・団体)2015_2015年11月版

Microsoft PowerPoint - ITGI JapanPresentation( 島田)

<4D F736F F D208DBB939C97DE8FEE95F18CB48D EA98EE58D7393AE8C7689E6816A2E646F63>

<90528DB88EBF96E2955B2E786C73>

内部統制ガイドラインについて 資料

IT コーディネータ協会と SLA ~SLA サンプルと記述のポイント ~ 特定非営利活動法人 IT コーディネータ協会 2013 年 11 月 27 日 SLA-ITSM コンサルティング 古川博康 IT コーディネータは IT 経営を実現するプロフェッショナルです

第 2 章 我が国における IT 関連産業及び IT 人材の動向 1. IT IT IT 2-1 IT IT 大分類 A 農業, 林業 B 漁業 C 鉱業, 採 業, 砂利採取業 D 建設業 E 製造業 F 電気 ガス 熱供給 水道業 G 情報通信業 H 運輸業, 郵便業 I 卸売業, 小売業 J

ISO 9001:2015 から ISO 9001:2008 の相関表 JIS Q 9001:2015 JIS Q 9001: 適用範囲 1 適用範囲 1.1 一般 4 組織の状況 4 品質マネジメントシステム 4.1 組織及びその状況の理解 4 品質マネジメントシステム 5.6 マネジ

SGEC 附属文書 理事会 統合 CoC 管理事業体の要件 目次序文 1 適用範囲 2 定義 3 統合 CoC 管理事業体組織の適格基準 4 統合 CoC 管理事業体で実施される SGEC 文書 4 CoC 認証ガイドライン の要求事項に関わる責任の適用範囲 序文

CCSAスタディガイド 解説コース

スライド 1

日本企業のCSIRT実例紹介

(社)日本監査役協会

エ事務部門 (9) 利用者 教職員 学生等及び臨時利用者で 本学情報システムを利用する者をいう (10) 教職員 本学に勤務する常勤又は非常勤の教職員 ( 派遣職員を含む ) をいう (11) 学生等 本学学則に定める学部学生 大学院学生 大学院研究生 科目等履修生及び聴講生 等をいう (12) 臨

Microsoft Word - mm1305-pg(プロマネ).docx

直しも行う これらの事務については 稟議規程 文書管理規程 契約書取扱規程は管理本部長が所管 情報管理規程 情報セキュリティ管理規程はコンプライアンス推進部長が所管し 運用状況の検証 見直しの経過等 適宜取締役会に報告する なお 業務を効率的に推進するために 業務システムの合理化や IT 化をさらに

8. 内部監査部門を設置し 当社グループのコンプライアンスの状況 業務の適正性に関する内部監査を実施する 内部監査部門はその結果を 適宜 監査等委員会及び代表取締役社長に報告するものとする 9. 当社グループの財務報告の適正性の確保に向けた内部統制体制を整備 構築する 10. 取締役及び執行役員は

2012/07/27 2 目次 1. 会社概要 2. 品質監理室 3.ANA IT 部門標準化の取り組み 4. 外部審査 5. 内部監査 6. 外部監査 7. 今後にむけて

Microsoft Word - 01_LS研IT白書原稿_2012年度_統合版__ _v1 2.doc

第 3 章 保険募集管理態勢の整備と内部監査 法令等遵守態勢の確認検査用チェックリスト とは別に 保険募集管理態勢の確認検査用チェックリスト により検証する構成がとられています これは 保険募集に関する法令等遵守の重要性が高く また 着目すべきポイントが多岐に渡っていることを反映したものとも考えられ

第 2 章職階および等級 ( 職 階 ) 第 7 条 職階は 職務遂行に要求される能力の範囲と程度に基づき 一般職 監督職 管理職およ ( 等級 ) 第 8 条等級は 各々の職階における職務遂行能力の成熟度の差に応じ 次の9 等級に区分するものとする 2. 前項の職階および等級の職能資格基準は 別表

安全管理規程

< E9197BF C C A88D5C BA492CA29817A C982A882AF82E98FEE95F1835A834C A CE8DF4834B BD82BD82AB91E4816A5F34325F E977095D E786C7

恣意的に限定した適用範囲になっていませんか 主力サイトは適用範囲外になっていませんか ( 当該サイト活動を適用範囲外することにより経営的に大きな影響を受けていませんか ) 環境マネジメントシステムの意図した成果 ( 箇条 4.1) に影響する部門 部署を除外していませんか 適用範囲に含まれるサイトと

5) 輸送の安全に関する教育及び研修に関する具体的な計画を策定し これを適確に実施する こと ( 輸送の安全に関する目標 ) 第 5 条前条に掲げる方針に基づき 目標を策定する ( 輸送の安全に関する計画 ) 第 6 条前条に掲げる目標を達成し 輸送の安全に関する重点施策に応じて 輸送の安全を確 保

i コンピテンシ ディクショナリ を 活用した品質エンジニアの育成 その 2 独立行政法人情報処理推進機構 HRD イニシアティブセンター 奥村有紀子

平成18年度標準調査票

< 目的 > 専ら被保険者の利益 にはそぐわない目的で運用が行われるとの懸念を払拭し 運用に対する国民の信頼を高める 運用の多様化 高度化が進む中で 適切にリスクを管理しつつ 機動的な対応を可能に GPIF ガバナンス強化のイメージ ( 案 ) < 方向性 > 1 独任制から合議制への転換基本ポート

Microsoft PowerPoint - メイテツコム事例(掲載用)

目 次 1. 適用範囲 P4 2. 引用規格 P5 3. 用語及び定義 P5 4. 組織の状況 P7 4.1 組織及びその状況の理解 P7 4.2 利害関係者のニーズ及び期待の理解 P7 4.3 個人情報保護マネジメントシステムの適用範囲の決定 P7 4.4 個人情報保護マネジメントシステム P7

スキル領域 職種 : ソフトウェアデベロップメント スキル領域と SWD 経済産業省, 独立行政法人情報処理推進機構

スマートフォン委員会 (仮)導入構築WG 2010年活動

自治体CIO育成教育

はじめに 個人情報保護法への対策を支援いたします!! 2005 年 4 月 個人情報保護法 全面施行致しました 個人情報が漏洩した場合の管理 責任について民事での損害賠償請求や行政処分などのリスクを追う可能性がござい ます 個人情報を取り扱う企業は いち早く法律への対応が必要になります コラボレーシ

平成22年7月30日

管理区分 非管理版 文書番号 PMS-007 制定年月日 改訂年月日 改訂番号 1 購入希望の場合は P マークの取得及び更新に必須となる文書のサンプルです ページ最後の購入方法をご確認ください 修正可能なワードファイルで提供して

PYT & Associates Attorney at law

Microsoft PowerPoint - M1001_1_ ppt [互換モード]

Microsoft Word - IRCA250g APG EffectivenessJP.doc

AAプロセスアフローチについて_ テクノファーnews

第1回「若手社員の仕事・会社に対する満足度」調査   

文書管理規程 1.0 版 1

J-SOX 自己点検評価プロセスの構築

平成 29 年 12 月 27 日中部電力株式会社 浜岡原子力発電所原子炉施設保安規定の変更について 1. はじめに平成 28 年 4 月より導入したカンパニー制の自律的な事業運営をこれまで以上に促進するため, 各カンパニーへのさらなる機能移管をはじめ, 本店組織について, 戦略機能の強化と共通サー

図 1 左側は 全病院における病床規模の分布を 右側は回答者施設の病床規模の分布を示す 200 床以上 ~500 床未満 500 床以上では全体に占める割合に比べて回答者の割合がやや高く 200 床未満では やや低い 以下 回答施設全体の統計要約は この点を考慮に入れてみる必要がある 図 1 全病院

02 IT 導入のメリットと手順 第 1 章で見てきたように IT 技術は進展していますが ノウハウのある人材の不足やコスト負担など IT 導入に向けたハードルは依然として高く IT 導入はなかなか進んでいないようです 2016 年版中小企業白書では IT 投資の効果を分析していますので 第 2 章

( 様式第 6) 病院の管理及び運営に関する諸記録の閲覧方法に関する書類 病院の管理及び運営に関する諸記録の閲覧方法 計画 現状の別 1. 計画 2. 現状 閲 覧 責 任 者 氏 名 閲 覧 担 当 者 氏 名 閲覧の求めに応じる場所 閲覧の手続の概要 ( 注 ) 既に医療法施行規則第 9 条の

従業員に占める女性の割合 7 割弱の企業が 40% 未満 と回答 一方 60% 以上 と回答した企業も 1 割以上 ある 66.8% 19.1% 14.1% 40% 未満 40~60% 未満 60% 以上 女性管理職比率 7 割の企業が 5% 未満 と回答 一方 30% 以上 と回答した企業も 1

JISQ 原案(本体)

職業訓練に関するアンケート調査 ( 企業 ) 集計表 岩手労働局 産業分類別回答事業所数 1 ( 単位 : 社 ) = 回答数構成比 1 農林水産業 % 2 建設業 % 3 電気 ガス 水道業 % 4 情報通信

<4D F736F F D20939D8D87837D836A B B816996E BB8DEC8F8A816A F90BB8DEC E646F63>

図表 2 新規事業創造推進の主導 自社の新規事業創造の推進について 最も当てはまるものを 1 つお選びください % 図表 3 (1) 全体 現場主導 25.3 推進していない 19.1 新規事業創造推進の主体 経営主導 55.6 あなたは 自社における新規事業創造は 本来 誰が中心となって担うべきだ

日経 xTECH読者プロフィール

2012年3月期第3四半期決算および2012年3月期業績見通し

アンケート設問 ( スクリーニング )(2 / 16) 300 名以上 1,000 名未満 Q1.7へ 1,000 名以上 Q1.7へ Q1-5 企業の資本金 あなたの現在の勤務先の資本金を選んでください 5,000 万円未満 5,000 万円以上 1 億円未満 1 億円以上 3 億円未満 3 億円

<4D F736F F F696E74202D E291AB8E9197BF A F82CC8A A390698DF42E707074>

<4D F736F F D D A2E8A4F959488CF91F590E682CC8AC493C295FB96402E646F63>

DumpsKing Latest exam dumps & reliable dumps VCE & valid certification king

事業者名称 ( 事業者番号 ): 地域密着型特別養護老人ホームきいと ( ) 提供サービス名 : 地域密着型介護老人福祉施設 TEL 評価年月日 :H30 年 3 月 7 日 評価結果整理表 共通項目 Ⅰ 福祉サービスの基本方針と組織 1 理念 基本方針

スライド タイトルなし

「組織マネジメントに関する調査」結果(概要)

登録審査機関の審査ポイント

6 当社は 反社会的勢力に対しては一切の関係をもたず 不当要求を受けた場合等の 事案発生時には 総務部を対応統括部署として警察および顧問弁護士等と連携し毅然とした態度で対応する (2) 取締役の職務の執行に係る情報の保存及び管理に関する体制 1 当社は 取締役の職務の執行に関する情報 ( 株主総会議

平成29年度     地域経済動向調査      調査報告書

<4F F824F B4B8A B818E968D802E786C73>

Microsoft Word - 【施行②】第50条解釈適用指針Rev4.doc

1 取組の背景 東日本大震災(H ) ソーシャルメディア等インターネットを活用して安否確認が行われるなど 情報通信技術 (ICT) に基づく情報伝達手段が広範囲に活用される 一方 緊急時における情報の途絶や錯綜による不安感の増大 混乱から迅速 確実な情報伝達手段の確保の必要性 もしもの時

チェック式自己評価組織マネジメント分析シート カテゴリー 1 リーダーシップと意思決定 サブカテゴリー 1 事業所が目指していることの実現に向けて一丸となっている 事業所が目指していること ( 理念 ビジョン 基本方針など ) を明示している 事業所が目指していること ( 理念 基本方針

上場会社監査事務所登録制度に係る規定要綱案

11. 不測事態 とは 情報セキュリティの確保及び維持に重大な影響を与える災害 障害 セキュリティ侵害等の事態をいう 12. 役職員等 とは 当組合の役員 職員並びにこれに準ずる者( 嘱託職員 臨時職員 パートタイマー アルバイト等 及び当組合との間に委任契約又は雇用契約が成立した者 ) をいう 1

はじめに は 日本中の中小企業が今よりもっと容易に海外進出を果たす為の仕組みづくりとして 海外進出コンソーシアムを結成します このコンソーシアムは 当社と大手貿易支援企業のパートナー関係を中核とし 貿易に関して得意分野を持つ企業とのコラボレーションにより構成されます Copyright(C) 201

Microsoft Word - 評価規準v4.0.docx


Microsoft Word - 5_‚æ3ŁÒ.doc

Transcription:

2012 情報セキュリティマネジメント実態調査報告書 ISACA 東京支部 CISM 委員会 平成 24 年 12 月 情報セキュリティを確保し維持するためにはその中核を担う情報セキュリティマネージャー (ISM) の存在が重要です 特に昨今の新たな情報セキュリティの脅威や各種のモバイル端末の出現に対して対策の難しさと組織目的達成のためにICTの利活用から得る利得とのバランスをいかに取るかについて的確な判断が求められており 企業経営者を支えるISMの役割は重要性を増しています しかしながら例えば 日本国内ではセキュリティの専門家 システム監査あるいは情報セキュリティ監査の専門資格がありますが ISMについてはISACAのCISMが唯一であり その数は未だ400 名に届いていない状況にあります ISACA 東京支部 CISM 委員会では 国内の情報セキュリティマネジメントに関する人材が今後とも重要性を増すことが予想されるなかで 実態を把握することが情報セキュリティの専門家や企業にとって参考になると考え 当調査を行いました 当調査は国内のISACA 各支部会員とJASA 日本セキュリティ監査協会会員に対して行ったものです 当調査における設問は大きく対象母集団のプロファイルを把握する設問 情報セキュリティ体制と人材に関する設問 そしてISACAで定める情報セキュリティマネージャーのタスクを基にしたセキュリティマネジメントの運用調査を確認する設問に分かれています 1. 調査母集団のプロファイル 1-1 回答者の所属団体当調査はISACA 国内各支部とJASA 日本セキュリティ監査協会会員を対象として電子メールで協力をお願いし行ったものです 電子メールの配信対象は全体で約 4000 名 Webでのアンケートに回答していただいた数は356 件です なお6 件はJASAと ISACA 会員の双方であると回答しています いずれの回答者も情報セキュリティに関する知識を有し 実務に直接的または間接的に関係している方々であると想定されます 情報セキュリティの 1 16.6 割合 % 回答者の所属団体 6.7 1.4 0.8 76.1 図 1 回答者の所属団体 ISACA 東京支部 JASA 日本セキュリティ監査協会 ISACA 大阪支部 ISACA 福岡支部 ISACA 名古屋支部

専門家の関わる企業が対象となることから 母集団の企業は国内の平均的な企業というよりも セキュ リティマネジメントに関して比較的意識の高い企業と推定されます 1-1-1 対象組織の産業分野 1.1 2.8 1.1 2.8 1.1 1.1 0.8 0.8 1.1 0.6 0.3 15.4 34.8 17.1 18.8 産業分野 情報サービス ( ソフトウエア 情報処理 ) サービス業 ( シンクタンク コンサルタント ) 金融 保険業製造業通信業 ( 固定 / 移動電気通信 ) 卸売 小売業放送業 ISP ASP 運輸業教育, 学習支援業公務建設業不動産業出版業 新聞業医療, 福祉 図 2 対象企業の産業分野対象となる企業の産業分野は情報サービス業 サービス業 金融 保険業 製造業の企業数が上位の 86.1% を占めており この調査の主要な対象と なっています 従業員数 1-1-2 従業員規模 企業規模は大企業が相対的に多く 中小規模 の企業まで比較的一様に分布しています 34.0 11.8 7.0 5.6 10.1 6.5 15.7 9.3 1~50 人 51~100 人 101~500 人 501~1000 人 1001~2000 人 2001~3000 人 3001~5000 人 図 3 企業規模の分布 2

1-1-3 回答者の組織内での所属 1.1 4.2 3.7 2.8 2.2 2.2 6.5 9.0 9.8 0.8 社内部門 0.6 0.3 21.6 18.5 16.6 監査部門 営業 コンサルティング ( 顧客向け ) 情報システム部門 ( 自社向け ) 情報セキュリティ部門 ( 自社向け ) コンプライアンス 内部統制 リスク管理部門運用 維持 管理 サービス ( 顧客向け ) 研究 開発 導入 ( 顧客向け ) その他 経営企画部門 図 4 回答者の社内部門 回答者の所属は情報セキュリティ部門が約 10% であることから 直接情報セキュリティに携わってい る割合は比較的小さいことが分かります 1-1-4 回答者の職位回答者の約半数が企業内の管理職 ( 部長 課長クラス ) であり ISM の職位に相当する職位の方々となっています 0.6 1.7 1.1 3.7 3.1 3.7 20.2 16.6 19.1 30.3 職位 経営者 役員 部長クラス 課長 マネージャ - クラス係長 チーム長クラス 一般社員 契約社員 派遣 アルバイト コンサルタント 顧問 その他 図 5 回答者の職位 3

2. 情報セキュリティの体制と人材 2-1-1 キュリティマネジメントを主管している部門 3.7 1.7 2.5 2.0 0.8 0.6 0.8 1.7 0.3 0.3 0.3 主管部門 情報セキュリティ部門 ( 自社向け ) 情報システム部門 ( 自社向け ) コンプライアンス 内部統制 リスク管理部門経営企画部門 6.7 10.1 28.7 総務部門 その他 監査部門 15.2 24.7 営業 コンサルティング ( 顧客向け ) 業務管理部門 運用 維持 管理 サービス ( 顧客向け ) 品質管理部門 図 6 情報セキュリティマネジメントを主管する部門 情報セキュリティを主管する部門として 多くの企業では専門の対応部署 ( 情報セキュリティ部門 情 報システム部門 コンプライアンス 内部統制 リスク管理部門 ) で対応しています (68.6%) が そ れ以外では情報セキュリティの担当として必ずしも相応しくない部門で担当しています 2-1-2 情報セキュリティマネージャ (ISM) は存在しているか 約 70% でISMの実務を担当する人材が配置されています 知らない / わからない が19% であるのは ISMの配置を明確にしていないことであろうと思われます 11 ISM 実務担当者 19 70 います いません 知らない / わからない 図 7 ISM の配備状況 4

図 8 ISMの人数図 8は4つの産業分野における企業規模別のISMの人数分布を示しています 製造業では中小規模で対応が進んでおらず また大企業でも対応の進んでいる割合は小さくなっています 情報サービス業では ISMの配備状況は比較的進んでいます 金融 保険業では特に大企業で対応する人数が少ない傾向にあります 2-2-1 ISM の能力 図 9 にあるように ISM の能力に関して十分 な能力があると判断した割合は34% であり それ以外は不十分と判断されています 43.2% が能力不足と判断しており 人材育成の重要性が高いことが分かります 11.5 22.8 31.7 34.0 十分能力を発揮している専門能力があるが足りない部分がある 専門能力がない 図 9 担当者の能力 2-2-2 ISMに足りない専門能力 ISMに不足している専門能力として 専門知識を挙げる割合が多く ISMが新たな脅威に対して十分対応できていない可能性があります 5 図 10 不足している専門能力

2-2-3 ISMの育成のための第一歩は ISMを育成するために推奨する事項として 以下の 4つが高い比率で回答されています セミナー 研修などに参加して知識を習得する セキュリティ関連知識を学びCISM(ISACA) などの資格を取得する システム開発 運用の現場でセキュリティ対策の経験を積む セキュリティインシデントの対応を経験する ISMには経験と最新の知識のふたつが求められています 図 11 ISM の育成方法 2-3-1 資格取得に対するインセンティブ人材確保のための有効な手段と考えられる資格取得への支援は約半数の企業であるものの その割合は大きくありません 図 12 資格取得のインセンティブ 2-3-1a 資格取得の報奨金 資格取得後の報奨金については 77.8% で報奨金がないと回答しています 人材育成 人材確保の目標の具体的方法が企業で認識されていないことが分かります また 給与に加算される資格手当は97.8% で考慮されておらず 人材確保についての配慮が進んでいないと判断できます 図 13 資格取得への報酬 6 図 14 資格取得での給与手当

2-3-2 ISM の有する資格 50.0 45.0 40.0 35.0 30.0 25.0 20.0 15.0 10.0 5.0 0.0 回答率 (%) ISM の有する資格 図 15 ISMの有する資格図 15はISMが有する資格の分布であり セキュリティの専門資格の他に監査資格の有資格者が多くなっています これは 回答者の集団がISACAとJASAであることに原因するかもしれません 監査の有資格者が情報セキュリティマネジメントを担当しているのは人材の流動性を示していると思われます また ISMの資格であるCISMの有資格者の割合が低く 今後 CISMを含めてISM 関連資格の取得者増加の余地があると期待できます 2-3-3 回答者の有する資格 70.0 60.0 50.0 40.0 30.0 20.0 10.0 0.0 回答率 (%) 回答者の有する資格 図 16 回答者の有する資格本調査がISACAの会員とJASAの会員を対象としたため 回答者はISACAの主要な資格であるCISAの有資格者の割合が多くなっています 7

3 セキュリティマネジメント運用調査 セキュリティマネジメントの実態調査としての設問は 以下のように 4 つの領域における対応状況と総 合的な評価に関するものです 項番 3-1-1 情報セキュリティガバナンスに関する設問 確立された情報セキュリティガバナンスフレームワークと これにより支えられる組織目標と目的に調和した情報セキュリ ティ戦略がある 3-1-2 情報セキュリティ方針が確立されていて 経営陣の指示 伝達のもとで 基準 手順などが策定されている 3-1-3 情報セキュリティの役割と責任が規定 ( 明文化 ) されており 組織全体に説明責任と権限が確立している 3-1-4 情報セキュリティ戦略の有効性を測定基準に従い監視 評価し 報告するプロセスが確立しておりそれを経営陣が把握 している 情報リスク管理とコンプライアンスに関する設問 3-2-1 情報資産のランク付けのプロセスがあり 資産の重要度に応じた対策が取られている 3-2-2 法規制 組織 及びその他の条件を把握し 組織として遵守すべき状況を把握している 3-2-3 リスク評価 脆弱性評価 および脅威分析が定期的に行われ 組織の情報資産に対するリスクが把握できている 3-2-4 情報セキュリティ管理策の適切性とリスクが許容水準に効果的に低減しているかを定期的に評価している 3-2-5 3-2-6 3-3-1 情報リスク管理を事業と IT の各プロセス ( 開発 調達 プロジェクト管理 合併 買収など ) に組み込み 一貫性のある包 括的な情報リスク管理プロセスを組織全体で推進している 既存のリスクを監視し 不遵守や情報リスクの変化について経営陣が把握しており リスク管理の意思決定プロセスに役 立てている 情報セキュリティプログラムの開発と管理に関する設問 情報セキュリティプログラムは情報セキュリティ戦略と調和しており 他のビジネス機能 ( 人事 経理 調達 IT 等 ) との間 で整合性があり ビジネスプロセスへの組み込みが考慮されている 3-3-2 情報セキュリティの基準 手順等の文書を確立 伝達 および維持し 情報セキュリティ方針が遵守されている 3-3-3 3-3-4 3-3-5 情報セキュリティの周知と研修のためのプログラムがあり セキュリティで保護された環境とセキュリティ文化を維持して いる 情報セキュリティ要件を組織の各種プロセス ( 変更コントロール 合併および買収 開発 事業継続 災害復旧など ) に組 み込んでいる 情報セキュリティ要件をサードパーティ ( 合弁会社 委託業者 ビジネス パートナー 顧客など ) の契約と活動に組み込で いる 3-3-6 セキュリティプログラムの管理と運用上の測定基準があり 監視と定期的な報告により情報セキュリティプログラムの有効性と効率が把握されている 情報セキュリティのインシデント管理に関する設問 3-4-1 情報セキュリティインシデントを組織として正確に把握し対応できている 3-4-2 インシデント対応計画があり 情報セキュリティインシデントに即座に対応できている 3-4-3 情報セキュリティインシデントを調査し記録するプロセスがあり 法規制 および組織の要件に準拠して適切に対応し 原因究明ができるようにしている 3-4-4 インシデントのエスカレーションと通知のプロセスがあり 該当する利害関係者がインシデント対応管理に確実に参加できるようになっている 3-4-5 コミュニケーションの計画とプロセスがあり 内部および外部とのコミュニケーションが管理されている 3-4-6 インシデントの事後レビューを実施し インシデントの根本原因を特定し 是正処置を策定し リスクを再評価し 対応の有効性を評価し 適切な対策が実施できている 3-4-7 インシデント対応計画 災害復旧計画 および事業継続計画は統合されている 総合的な評価に関する設問 3-5-1 あなたが関係する企業 組織における効果的な情報セキュリティマネジメントの運用は以下のどれに最も該当しますか このうち 3-4-1,3-4-2,3-4-3 以外の回答の選択肢は同じであるので 対応できている の割合の大きいもの から順に図 17 に示しています 8

セキュリティマネジメント運用調査 3-1-3 ISの役割と責任が明文化 組織全体に説明責任 3-1-2 IS 方針の確立 経営陣の指示 伝達のもとで 基 3-3-2 ISの基準 手順等の文書確立 伝達 および 3-2-2 法規制 組織 その他の条件を把握 組織とし 3-3-3 情報セキュリティの周知と研修プログラム セ 3-4-4 インシデントのエスカレーションと通知のプロ 3-2-1 情報資産のランク付けを行い 資産の重要度に応 3-1-1 ISガバナンスフレームワーク 目標と目的に調和 3-2-3 リスク評価 脆弱性評価 脅威分析の定期的実 3-4-6 インシデントの事後レビュー 根本原因の特 3-3-5 情報セキュリティ要件をサードパーティの契約 3-1-4 IS 戦略の有効性を監視 評価 報告し経営陣が 3-5-1 企業 組織における効果的な情報セキュリティ 3-2-6 既存リスクの監視 情報リスクの変化について 3-2-4 IS 管理策の適切性とリスクが許容水準に低減し 3-4-5 コミュニケーションの計画とプロセスがあり 3-3-4 情報セキュリティ要件を組織の各種プロセスに 3-3-6 ISプログラムの管理と運用上の測定基準 監視 3-3-1 ISプログラムの戦略との調和 ビジネス機能と整 3-2-5 情報リスク管理を各プロセスに組み込み 情報 3-4-7 インシデント対応計画 災害復旧計画 および 0% 20% 40% 60% 80% 100% 対応できている一部対応できているこれから予定している予定はないわからない 図 17 情報セキュリティマネジメントの実態情報セキュリティガバナンスの各項目の対応状況から 例えば3-1-3, 3-1-2からは組織に方針がありそして内部規定や推進体制が文書化されている点で 対応できている 一部対応できている 組織が多く 情報セキュリティマネジメントシステム (ISMS) が既に導入されていることを意味しています ところが 3-1-1セキュリティ戦略がある そして3-1-4 戦略の有効性の評価となると次第に 対応できている ポイントが低下しています 情報リスク管理とコンプライアンスに関しては 3-2-2 法規制の把握のポイントが高く ついで3-2-1 資産のランク付に対応できています しかし 3-2-3 リスクや脅威分析の定期的な実施ではポイントが低下し 3-2-6 リスクの監視やリスクの変化への対応 そして3-2-4の管理策の評価 3-2-5のリスク管理の各プロセスへの組み込みにおいてポイントが低下しています 情報セキュリティプリグラムの開発と管理に関しては 3-3-2 基準や手順の確立 3-3-3 研修の実施で 対応できている 比率が高く 3-3-5 契約への組み込み さらに3-3-4 各種プロセスへの組み込みでポイントが下がります 3-3-6 セキュリティプログラムの評価への対応と3-3-1 セキュリティ戦略と調和したビジネスプロセスへの組み込みへの対応では更にポイントが低下しています 9

対応できている 一部対応できている 障害については対応できている これから予定している 0% 20% 40% 60% 80% 100% 予定はない 図 18 3-4-1 情報セキュリティインシデントを組織として正確に把握し対応できているか 0% 20% 40% 60% 80% 100% 対応できている一部対応できている障害対応計画はある これから予定している予定はないわからない 図 19 3-4-2 インシデント対応計画があり 情報セキュリティインシデントに即座に対応できているか 対応できている 一部対応できている 障害に関してはできている これから予定している 0% 20% 40% 60% 80% 100% 予定はない 図 20 3-4-3 情報セキュリティインシデントを調査し記録するプロセスがあり 法規制 および組織の要件に準拠して適切に対応し原因究明ができるようにしているか 設問 3-4-1, 3-4-2, 3-4-3はインシデントに関する設問であり 夫々図 18 19 そして20に対応しています 3-4-4 インシデントのエスカレーションプロセスがあり 3-4-1 インシデントの把握に対応できているが 3-4-6 インシデントの事後レビューではポイントが下がります 3-4-5 内外のコミュニケーションの管理でさらにポイントが下がります 今回の調査で最も対応状況の悪いのは 3-4-7 インシデント対応計画 災害復旧計画 および事業継続計画の統合への対応でした 3-5-1は総合的な評価であり 対応できている の割合は38.2% と他の設問と比較して平均的な値です しかし 一部対応できている の割合が52.2% と最も高く 多くの回答者はセキュリティマネジメントの有効性が不十分であると認識しています 3. 4 総合評価 以下 まとめますと ; 10

1. 情報セキュリティマネージャー (ISM) の配備が不十分である企業が多い 2. ISMの約 3 分の2は 専門知識等が足りないと判断されており 知識の獲得や経験を積むことが求められている 3. 企業では専門領域における資格獲得者への支援が不十分であるところが多い 4. 情報セキュリティマネジメントシステムの導入は対象企業で進んでおり 効果的な運用ができていると判断しているのは約 40% であり 約 50% は対応が不十分であると考えている 5. 情報セキュリティマネジメントシステムの計画段階に実施する部分への対応比率は高いものの ビジネスプロセスや対外的な関係の中でのセキュリティ管理の組み込み 情報セキュリティ戦略やセキュリティプログラムの有効性の評価 包括的な情報リスク管理への対応ができていない傾向にある 6. インシデント対応計画 災害復旧計画 および事業継続計画の統合への対応が遅れている 最近国内でもAPT 攻撃など新しい型の攻撃が脅威となっており 企業は既に情報セキュリティマネジメントシステム (ISMS) を導入しているものの 外的環境からの脅威の変化に追従できているのでしょうか 新しい型の攻撃に対しては既存の対策の見直しと包括的な情報リスク管理が必要となっていますが 当調査結果からはいずれにおいても対応できていない企業がかなりあるという傾向があります 当調査結果は個別企業のセキュリティ対策に役立つものではありませんが 企業経営者 情報セキュリティ担当者や情報システム担当者が情報セキュリティマネジメントの運用において陥りやすい傾向を把握する上で参考になるものと期待しています 11

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック