本文へジャンプ

協議会について

名称

情報セキュリティガバナンス協議会
(Information Security Governance Association: ISGA)

概要

企業組織が適切な情報セキュリティガバナンスを確立することを促進するため、経営陣が情報リスクについて正しく理解し、組織として適切なリスク管理と情報セキュリティ対策を実施することをめざし、以下の事業を実施する。

  • 情報リスクの管理に関する知見の共有
  • 情報セキュリティガバナンスに関する普及啓発
  • 情報セキュリティガバナンス関連コンテンツの整備

情報セキュリティガバナンスとは

昨今、国内外で巧妙かつ執拗なサイバー攻撃による被害が多発しているのに対し、企業側の対応は定式化された運用と確認に重点が置かれ、経営陣が情報リスクの現状を正しく理解できていない可能性があります。このように、部分最適化とディスコミュニケーションにより思考が硬直した「大企業病」が情報セキュリティの分野で蔓延していたとしたら、とても危険な状況です。

情報セキュリティガバナンスは、企業組織がこうした状況を打破し、経営陣や管理者層、現場、さらに利害関係者の相互理解を促すのに有効な取り組みです。
経済産業省では、情報セキュリティガバナンスを次のように定義しています。
「情報・ITに係るリスク管理を狙いとして、利害関係者から求められる情報セキュリティにかかわる意識や取組み、それに基づく業務活動を組織内に徹底させるための仕組み(経営者が組織内の状況をモニタリングし方針を決定する仕組み及び市場に対する開示と市場による評価の仕組みを指す)を構築・運用すること」
(出典:経済産業省「情報セキュリティガバナンス導入ガイダンス」, 2009/06)

つまり、経営陣が情報リスクを的確に把握し、自らのイニシアチブで情報セキュリティの方針を提示したり、リソースを確保するとともに、利害関係者に対しても適切に説明する取り組みであると言えます。

情報セキュリティガバナンスのフレームワーク

設立

2012年5月21日

設立目的

企業にとって、情報リスクは今や深刻な損害も招きかねない重要な経営課題の一つです。しかし、経営陣にとって、情報リスクはこれまで情報システム部門で対処していた専門的な問題であり、理解するのが難しいと感じています。また、情報セキュリティ責任者も、経営に分かる言葉で情報リスクの状況を説明することに苦戦しています。
※情報の漏えいや喪失、情報システムの停止、ネットワークの途絶等の問題が生じ、ビジネス上の問題が発生するリスク

その結果、リソース不足で対策が不十分なケースや、対策が形だけの「アリバイ」と化しているケース、逆に必要以上の対策を強いて現場の業務の妨げになっているケースなどが大手企業においても少なくありません。
こうした情報セキュリティガバナンスの不在は、情報セキュリティ担当部署と現場部門の不要な軋轢を招くだけでなく、情報リスクの変化や事件・事故の予兆に気づかずトラブルを招いたり、その対処を誤り被害抑制や復旧を阻害することも考えられます。

そこで、企業組織が適切な情報セキュリティガバナンスを確立することを促進するため、「情報セキュリティガバナンス協議会」を設立しました。
本協議会は、経営陣が情報リスクについて正しく理解し、組織として適切なリスク管理と情報セキュリティ対策を実施することをめざし、以下の事業に取り組みます。

  • 情報リスクの管理に関する知見の共有
  • 情報セキュリティガバナンスに関する普及啓発
  • 情報セキュリティガバナンス関連コンテンツの整備

成果目標の例

情報セキュリティガバナンス協議会では、情報リスクに関する経営陣の正しい理解を促すことを目指し、「情報リスクの見える化」に取り組みます。これにより、情報セキュリティ責任者や責任者を支える担当者が、経営陣に対して、経営に分かる言葉で、情報リスクの状況を報告し、経営陣の正しい理解と判断を得られるようになります。

情報セキュリティガバナンス協議会の検討

特徴

  1. ユーザ企業主導

    ユーザ企業の主導で、ユーザ企業によるユーザ企業のための活動を行います。

  2. 経営的観点

    情報リスクや情報セキュリティがテーマですが、主な論点として、技術や製品ではなく、経営の観点に沿った組織や統制、ガバナンス等のあり方を採り上げます。

  3. 政府との連携

    経済産業省とも連携し、情報セキュリティ政策の提言や支援に取り組みます。

主な活動

協議会では、以下の活動を行います。

  1. 情報リスクの管理に関する知見の共有(会員向け事業)

    • ・ベストプラクティスの共有(会員企業限定の意見交換 等)
    • ・会員向けセミナー / 勉強会の開催(有識者の講演、経済産業省との意見交換 等)
    • ・ユーザ企業に有益な各種情報の提供

  2. 情報セキュリティガバナンスに関する普及啓発

    ・一般企業向けの啓発用情報の発信(HP、冊子、セミナー等)

  3. 情報セキュリティガバナンス関連コンテンツの整備

    ・情報セキュリティガバナンス関連の基準・ガイドライン等の策定・改訂等

対象

協議会では、ITセキュリティと情報管理の管理職の方を対象に、経営の観点に基づいた議論を行います。これは他の団体には見られない特徴です。

  • 情報リスクに関する責任者の方 (CEO、CIO、CISO、CSO )
  • 情報システム部門の管理職の方 (ITセキュリティご担当)
  • 経営管理部門・総務部門の管理職の方 (情報管理ご担当)
主な参考対象