| その合理的な取り組みを具体的に実現するのが情報セキュリティガバナンスである。 |
| 1. |
組織にとって、情報セキュリティ対策をどこまでやれば良いかが合理的に決められているか?
受容リスクレベルが明確に定義されており、その決定に経営層が責任を持ち、合理的で利害関係者から支持を得られるものであるか?(経営層の方向付け=組織の方針=情報セキュリティ基本方針) |
| 2. |
目標を達成するための組織や体制、経営層のコミットメントが明確か?(方向付け=マネジメントシステム確立) |
| 3. |
受容レベルを達成するための具体的な施策(管理策)が導入され、業務手順に組み込まれて実施されているか?
リスク低減策は実務に組み込まれて機能しているか?(モニタリング=監査=内部監査) |
| 4. |
目標としたレベルの達成が確認されているか?リスク対応の結果が監査等で的確に検証され、課題については改善の取り組みが的確に行われており有効性が評価され、レベルの維持・向上が見込めるか?(評価=レビュー) |
| 5. |
取り組みが外部の利害関係者に的確に説明され理解を得ているか?(報告=リスクコミュニケーション) |
