• 検索結果がありません。

資 料 4

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "資 料 4"

Copied!
9
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 9 ページ )

全文

(1)

METI 経済産業省

情報セキュリティガバナンスの推進等について

平成20年9月10日

経済産業省商務情報政策局情報経済課情報セキュリティ政策室

資料4

(2)

METI 経済産業省

(備考)東証一部上場企業約400社から有 効回答。

各「ステージ」の割合は、次のとおり。

ステージ①:14.9%

ステージ②:65.8%

ステージ③:17.0%

ステージ④:2.3%

■企業のIT化ステージングの状況

ビジネス分野では、ITを活用した自社内の

「縦割り」を排除し、積極的な情報共有、情 報の可視化による「全体最適」を目指した

「マネジメント改革」が本格化しつつあるが、

全体的に見ると、約7割が「部分最適」にと どまっている。

企業~情報資産の利活用と管理 企業~情報資産の利活用と管理

情報資産の所有者が当該情報資産をどのような範囲でどう共有するかを定めることが重要 情報資産の所有者が当該情報資産をどのような範囲でどう共有するかを定めることが重要

1

(3)

METI 経済産業省

情報セキュリティガバナンスとは 情報セキュリティガバナンスとは

情報セキュリティ対策:企業価値を高めるための投資対象として位置づけ 情報セキュリティ対策:企業価値を高めるための投資対象として位置づけ

評価 開示

※経営層が取り組む「情報資産に係るリスク管理」を、管理者層・従業員層が取り組む実務的な管理策に詳細化すると、情報資産に 係る「法令遵守」、「情報資産管理」、「事業継続」に収斂する構造。

※「監査役会等」、「取締役会等」には、委員会設置会社等の場合を含む。

※「評価」の対象には、顧客からの要望への対応を含む。

※「情報資産管理」には、責任者の設置、情報資産資産の利活用及び漏えい/改ざん防止策等を含む。

※「リスク管理」のリスクには法令違反から生じるリスクを含み、図中の「法令遵守」は管理策を指す。

監視 報告

報告

監視 企業活動の目的

企 業

情報セキュリティ対策

企業の活動

利害関係者等の活動

•法令遵守

•情報資産管理

•事業継続

経営層

管理者層 従業員層

取引先、顧客、

従業員、社会等 株主

監査役会等

企業価値の向上 社会的責任の遂行

方針決定 モニタリング

リスク管理

取締役会等

情報セキュリティへの取り組みと企業戦略を整合させることの重要性 情報セキュリティへの取り組みと企業戦略を整合させることの重要性

(4)

METI 経済産業省

情報セキュリティガバナンスの確立に向けた課題 情報セキュリティガバナンスの確立に向けた課題

明確な経営層の意志とその徹底の必要性(①)

明確な経営層の意志とその徹底の必要性(①)

2.9%

1.6%

4.0%

10.6%

12.6%

24.3%

35.1%

38.7%

40.4%

66.1%

0% 10% 20% 30% 40% 50% 60% 70% 80%

無回答 その他 法制度 技術・ツール 市場・顧客の評価 予算 担当部署の体制・権限 経営トップの意思 効果測定・評価方法 社員の意識・理解度

情報セキュリティガバナンスシンポジウム2008アンケート結果。回収数445件(回収率52.3%

情報セキュリティガバナンス確立に係る課題(複数回答可)

21 53 18 8

17 55 20 7

24 51 16 8

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

全産業 製造業 非製造業

防災計画、事業継続計画の策定状況

特に防災関連の計画はない

避難、安否確認等の応急対応を中心とした防災計画がある 応急対応を含む防災計画を策定し、事業継続計画にも着手している 事業継続計画を含む防災計画を策定済みである

事業継続計画の策定状況

日本政策銀行「企業の防災への取り組みに関する特別調査」

平成199月(大企業から1,530件の回答を集計)

„

経営上の位置づけが不明確で現場任せ

„

情報セキュリティガバナンスの確立方法 に関する情報が不足

„

ITの観点を含めた事業継続計画 の必要性が増大

我が国:1割程度 我が国:1割程度

3

(5)

METI 経済産業省

情報セキュリティガバナンスの確立に向けた課題 情報セキュリティガバナンスの確立に向けた課題

安全な情報資産の共有(②)

安全な情報資産の共有(②)

情報漏えいが生じた際の経路・状況

警察庁「不正アクセス行為対策等の実態報告書」平成191

14.7% 13.9%

15.9%

12.6%

15.0%

10.7%

24.9%

18.4%

21.7% 20.9%

15.2%

13.0%

8.8%

2.7%

3.7%

0.0%

5.0%

10.0%

15.0%

20.0%

25.0%

30.0%

H14年度 H15年度 H16年度

大企業と中小企業の格差

情報処理実態調査より作成

„

委託先からの情報漏えいへの対応

„

グローバル化への対応

„

大企業と中小企業の格差が拡大

„

グループ企業内の情報資産の管理の徹底

(6)

METI 経済産業省

情報セキュリティガバナンスの確立に向けた課題 情報セキュリティガバナンスの確立に向けた課題

異なる目的の法令の遵守の必要性(③)

異なる目的の法令の遵守の必要性(③)

„ 情報セキュリティ対策を要求する法令

„ 情報セキュリティ対策を実施する際に留意が必要な法令

„

異なる目的の法令に対して、情報セキュリティの観点から遵守する方法につい ての情報が不十分

5

(7)

METI 経済産業省

情報セキュリティガバナンスの確立に向けた課題 情報セキュリティガバナンスの確立に向けた課題

説明責任への適切な対応(④)

説明責任への適切な対応(④)

6.1

9.5

11.8

0%

5%

10%

15%

2005年度 (N=3,782)

2006年度 (N=3,670)

2007年度 (N=3,920)

情報セキュリティに係る開示状況の推移

経済産業省「情報セキュリティガバナンス研究会報告書」平成193

„

必要な者に対して情報セキュリティ対策に関する情報開示が不十分、推進策の必要性

まだ約1割

まだ約1割

(8)

METI 経済産業省

情報セキュリティ基本問題委員会 中間取りまとめの構成

~情報セキュリティガバナンスを確立する上での課題と施策~

明確な経営層の意志と徹底

明確な経営層の意志と徹底 安全な情報資産共有安全な情報資産共有

・経営上の位置づけが不明確 で現場任せ

・情報セキュリティガバナンス の確立方法に関する情報が 不足

・ITの観点を含めた事業継続 計画の必要性が増大

・グループ企業内の情報資産 の管理の徹底

・大企業と中小企業の格差が 拡大

・委託先からの情報漏えいへ の対応

・グローバル化への対応

・必要な者に対して情報セ キュリティ対策に関する情報 開示が不十分、推進策の必 要性

説明責任への対応 説明責任への対応

・異なる目的の法令に対して 情報セキュリティの観点から 遵守する方法についての情 報が不十分

法令遵守法令遵守

課題課題

・IT経営協議会における戦略 的取組みの議論の場の形成

・「情報システム・情報セキュリ ティに係る内部統制ガイダン ス」(仮称)の策定・公表

・情報セキュリティガバナンスポー タルサイトの整備

・情報セキュリティガバナンス事 例集の策定

・ITサービス事業継続向上のた めの情報提供

・情報セキュリティガバナンス 確立に向けたインセンティブ

・情報セキュリティ、ガバナン ス関連の実施主体との連携

・情報セキュリティガバナンス事 例集の策定(再掲)

・中小企業が情報セキュリティ 対策に取り組む環境の改善

・海外アウトソーシング時のリス クチェック手法の検討

・アジアにおける情報セキュリティ 確保の推進・貢献

・アジアにおける企業内緊急時 対応組織構築支援の協力

・「情報セキュリティ情報開示イ ニシアティブ」(仮称)の実施

・情報セキュリティガバナンスポー タルサイトの整備(再掲)

・事故前提社会における消費 者への情報提供方法の検討

・民間における情報セキュリティ 格付けの取組みの促進

・情報セキュリティ、ガバナンス関 連の実施主体との連携(再 掲)

・情報セキュリティ関連法律上 の要求事項集の公表

施策施策

情報セキュリティガバナンスの確立に向けた今後の取組み 情報セキュリティガバナンスの確立に向けた今後の取組み

グローバル グローバル

7

(9)

METI 経済産業省 個人の情報セキュリティに関する問題意識

個人の情報セキュリティを取巻く現状

インターネットの利用環境・利用者層の変化 決済手段の多様化・個人情報のデータ化

サービス提供事業者側に起因する情報漏えい事故の増加

予防対策の啓発だけで は、事故に遭遇するリス クはゼロにはならない

事故前提社会 事故前提社会

消費者まで含めた問題意識の共有化を図り、「事故前提社会」

での情報セキュリティ対策を構築する環境作りが必要

できる限り

できる限り リスクを被害に変えないリスクを被害に変えない 情報セキュリティ対策の整備情報セキュリティ対策の整備

個人の情報セキュリティに対する取組み

サービス利用にともなう リスクを知っておく

利便性を損なわず、かつ適 切な予防対策を実施する リスクを被害に変えないた めの事後対策を知っておく リテラシー教育の

カリキュラム化

啓発活動:個人に対して、ター ゲット層ごとに最適な接点での 情報提供

サービス提供事業者に対する ガイダンス

リスク情報、対策情報、事故発生時 の対応等の適切な提供

個人情報の保存・利用に関する管理 情報の開示

事故発生時の迅速な情報開示と消 費者がとるべき事後対策情報の提供

考えられる施策 期待されるサービス提供事業者による

活動の推進 個人

今後の取組み

以上の仮説に基づいて、今後、調査・検討を行う

以上の仮説に基づいて、今後、調査・検討を行う

参照

今ダウンロードする ( PDF - 9 ページ - 559.05 KB )

関連したドキュメント

中期経営戦略(2015年5月1日) プレゼンテーション|IRライブラリ|株主・投資家向け情報|アルパイン株式会社

車 情報端末化 品質問題へ 責任 競合環境 変化 環境へ 対応. 政治

店舗衛生管理店舗衛生管理店舗衛生管理店舗衛生管理店長責任安全衛生委員個人衛生気をつけようをつけようをつけようをつけよう命に関わるわるわるわる食中毒食中毒食中毒食中毒予防のポイント食中毒予防の三原則石鹸洗石鹸洗石鹸洗石鹸洗いのいのいのいの励行励行励行励行とアルコールアルコールアルコールアルコール消毒消

苦情 苦情 苦情 苦情への への への対応 への 対応 対応 対応   苦情処理   苦情受理   応急対応   原因調査 食中毒 食中毒 食中毒 食中毒と と

平成24年9月20日会見資料 [区長月例記者会見]平成24年|豊島区公式ホームページ

ヷ居ㆰ 有無 関わ 区分所有者 責務を明確化 管理者 選任、 入居者へ 管理規約等説明責任. ヷ防犯対策、居ㆰヷ使用 禁止等

報道資料 平成 22 年

「国民を守る情報セキュリティ戦略」に明記された「最高情報セキュリティ責任者( CISO )の 機能強化」を実現するため、全府省庁の

資料2

CISO:最高情報セキュリティ責任者 Chief Information Security Officerの略称 CIO:情報化統括責任者 Chief Information Officerの略称.b.

資料2 資料2

平成17年 7月14日 平成19年 4月23日改正 平成22年 7月22日改正 平成24年 1月24日改正 平成25年○○月○○日改正

資料2資料2

NISC

資料3

○各府省庁等の情報セキュリ ティ対策について、技術的セ キュリティのほか、物理的及び 人的セキュリティを含めた総合