• 検索結果がありません。

情報セキュリティ報告書について

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "情報セキュリティ報告書について"

Copied!
5
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 5 ページ )

全文

(1)

METI 経済産業省

0

情報セキュリティ報告書について

平成21年5月22日 経済産業省

情報セキュリティ政策室

資料8

(2)

METI 経済産業省

企業の情報セキュリティ対策の促進~情報セキュリティガバナンスの確立~

情報セキュリティ対策ベンチマーク

¾ 情報セキュリティ対策のセルフチェック 等に有用なベンチマークの指標を開発

¾ さらに、IT事故データ収集のあり方や 被害想定額算出手法について調査し、

ベンチマークデータと連動したリスク評 価の可能性を模索

情報セキュリティ報告書モデル

¾ 企業のコンプライアンスや社会的責任 を説明するIRの一環として、自らの情 報セキュリティポリシーやそれを実現 する対策の実施状況について対外的 に公表する「情報セキュリティ報告書」

を提唱し、そのモデル案を策定

事業継続計画策定ガイドライン

¾ 企業がIT事故発生時にも事業運営を 継続的に維持するための事業継続計 画(BCP)について、その策定手順や 検討項目、事例等を紹介する「事業継 続計画策定ガイドライン」を策定

企業・社会への普及方策

・情報セキュリティ格付

・政府調達への活用

・損害保険との連携

問題点を克服し、企業が情報セキュリティガバナンスの確立を促進するツール

既存施策との連携

・ISMSや情報セキュリティ監査の「入口」

としての活用

(セルフチェック→第三者認証・評価へ) 等

(1) IT事故発生のリスクが明確でなく、適正な情報セキュリティ投資の判断が困難

9 投資判断のための指標が求められているのではないか。

(1) IT事故発生のリスクが明確でなく、適正な情報セキュリティ投資の判断が困難

9 投資判断のための指標が求められているのではないか。

(2) 既存の情報セキュリティへの「対策」「取組」が企業価値に直結していない

9 情報セキュリティに係る取組が、企業価値向上に寄与する仕組みが必要ではないか。

(2) 既存の情報セキュリティへの「対策」「取組」が企業価値に直結していない

9 情報セキュリティに係る取組が、企業価値向上に寄与する仕組みが必要ではないか。

(3) 事業継続性確保の必要性が十分に認識されていない

9 IT事故発生時の対応手続きを事業継続の観点から定めておくことが必要ではないか。

(3) 事業継続性確保の必要性が十分に認識されていない

9 IT事故発生時の対応手続きを事業継続の観点から定めておくことが必要ではないか。

問題点

(3)

METI 経済産業省

(参考)情報セキュリティ対策実施上の課題・効果

2

情報セキュリティ対策実施上の問題点

出所:不正アクセス行為対策等の実態調査(平成21年3月警察庁)

情報セキュリティ対策実施の上で費用対効果が 見えづらいことが大きな課題になっている

15.5 2.0

8.2

21.1

50.1 11.3

25.1 4.1

8.8 14.8

41.8 18.5

0 10 20 30 40 50 60

顧客・取引先からの評価の上昇

市場や投資家からの評価の上昇 製品やサービスの質の向上

業務効率や生産性の向上 特に効果はなかった

その他

H17年度 H18年度

(%)

情報セキュリティ対策のセキュリティ向上以外の効果の推移

出所:平成19年情報処理実態調査(平成20年7月経済産業省)

セキュリティ向上以外の主な効果として

顧客等外部からの評価の上昇、業務効率や生産性の向上 などが挙げられる。

(4)

METI 経済産業省

¾

企業の情報セキュリティの取組みの中でも社会的関心の高いものについて情報開示することにより、

当該企業の取組みが顧客や投資家などのステークホルダーから適正に評価されることを目指す。

¾

不要な情報まで開示してしまうことがないよう若干の配慮が必要。

①基礎情報

②経営者の情報セキュリティに関する考え方 9企業の情報セキュリティに関する取り組み方針 9対象範囲対象範囲

9報告書におけるステークホルダーの位置付け、

ステークホルダーに対するメッセージ

③情報セキュリティガバナンス 9情報セキュリティマネジメント体制

(責任の所在、組織体制、コンプライアンス等)

9情報セキュリティに関わるリスク 9情報セキュリティ戦略

④情報セキュリティ対策の計画、目標 9アクションプラン

9数値目標(対策ベンチマークのスコア等)

⑤情報セキュリティ対策の実績、評価 9計画に対する実績、評価

9事故報告 9報告書の発行目的

9利用上の注意

9対象期間、責任部署等

⑦第三者評価・認証

9 第三者評価・認証に係る取り組み

-認証の取得状況(ISMS、プライバシーマーク) -情報セキュリティ監査の実施状況 等

⑥情報セキュリティに係る主要注力テーマ

9 特に強調したい取組み、テーマを選択し、その状況を 紹介(例:個人情報保護、事業継続計画等)

9 記載項目の選択や記載内容のレベルは企業が自社の事情に応じて選択可能 9 他の報告書の一部として組み込む形もありうるし、単体の報告書という形もありうる

情報セキュリティ報告書の記載項目(フルセット)

情報セキュリティ報告書の記載項目(フルセット)

組織的対策の推進 ~情報セキュリティ報告書モデル~

(5)

METI 経済産業省

4

(参考)上場企業の情報セキュリティに係る情報開示状況/

情報セキュリティ報告書発行例

▲情報セキュリティ報告書 作成例

(富士ゼロックス RICOH /NTTデータ /キヤノンマーケティングジャパン/富士通)

情報セキュリティに係る開示状況

6.1

9.5

11.8 12.0

0%

5%

10%

15%

2005年度 (N=3,782)

2006年度 (N=3,670)

2007年度 (N=3,920)

2008年度 (N=3,898)

N=国内上場企業

出所:経済産業省調査(2009年3月)

参照

今ダウンロードする ( PDF - 5 ページ - 1.08 MB )

関連したドキュメント

事業報告書

平成 28 年度は 4 月以降、常勤 2

事 業 報 告 書

① 小惑星の観測・発見・登録・命名 (月光天文台において今日までに発見登録された 162 個の小惑星のうち 14 個に命名されています)

事 業 報 告 書

開発途上国の保健人材を対象に、日本の経験を活用し、専門家やジョイセフのプロジェクト経 験者等を講師として、母子保健を含む

事 業 報 告 書

 在籍者 101 名の内 89 名が回答し、回収 率は 88%となりました。各事業所の内訳 は、生駒事業所では在籍者 24 名の内 18 名 が回答し、高の原事業所では在籍者

事 業 報 告 書

研究員 A joint meeting of the 56th Annual Conference of the Animal Behavior Society and the 36th International Ethological Conference. Does different energy intake gradually promote

事 業 報 告書

平成 28 年 3 月 31 日現在のご利用者は 28 名となり、新規 2 名と転居による廃 止が 1 件ありました。年間を通し、 20 名定員で 1

事業報告書

平成25年度.

事業報告書

C.海外の団体との交流事業 The Healthcare Clowning International Meeting 2018「The Art of Clowning 」 2018 年 4 月 4