経営戦略としての全社的な取組み

情報セキュリティにおける「経営戦略とリスクマネジメントとの融合」へのステップは、経営者のみならず全社員の共通認識が必要です。

そのためには、経営戦略として全社的に取組むことが必要です。

そこで、

• ・個別対策から全体最適へ

• ・情報セキュリティのリスクアセスメント

により、「脅威・脆弱性の可視化」を実施することが必要です。

情報セキュリティマネジメントの確立

具体的には、

・脅威・脆弱性と実施した対策にギャップはあるか

・あるとすれば、「何を」「どこまで」取り組めばよいのかを明確にし

・各対策の全てに対し定量的に把握するために、マネジメントサイクルを継続的に強化するための全組織共通の指標を設定し、対応状況を継続してモニタリング・コントロールしていくことが重要です。

全体最適に向けた留意点

また全体最適のためには、場当たり的な対応では効果的なセキュリティ対策にならないため、

• ・経営基盤全体の計画と整合性の取れた全体最適解を模索し

• ・全社レベルで秘密情報の安全管理を適材適所で選択し

• ・情報セキュリティ確保のための業務プロセスや制度を確立し

• ・全社レベルで意識して取り組んでいく

ことが重要です。