経営と情報セキュリティの両方が学べるCISOハンドブックが公開されました

特定非営利法人日本ネットワークセキュリティ協会(JNSA)は、2018年5月11日、「CISOハンドブック 業務執行として考える情報セキュリティ」 Ver.1.0β を公開しました。

企業で情報セキュリティの担当する方にはありがたい資料となります。

ハンドブックの概要

このハンドブックの使い方が明記されていますので引用します。

●経営会議で使用を作る際のひな型として

●技術担当からCISOになった人がビジネスを理解するための参考として

●セキュリティ経験の少ないCISOがセキュリティ業務を理解するための参考として

●経営会議で話される業務執行(CISOの役割と責任、業務)の概要を理解する参考として

●ビジネスに関連付けた計測項目と判断基準の例として

●ビジネスに沿ったセキュリティ計画や、事業継続計画策定の資料として

「CISOハンドブック 業務執行として考える情報セキュリティ」 Ver.1.0β  JNSA発行 より

CISOに向けてという構成の資料は少なく、助かります。

なんといっても経営に結び付いた現実的な対策を構築したいと、当然考えています。

これまでに、情報セキュリティに関するガイドラインは各種公開されており、セキュリティポリシーをすでに策定している組織も多い中、まだまた、事件・事故は絶えません。

CISOは、経営に関する知識・スキルと、情報セキュリティに関する知識・スキルが求められます。なかなか両方に通じている人材はいません。

ビジネスを意識して作成してくださっているので本当にありがたい資料です。

この資料から学べる内容

企業が直面する一般的なリスクと、IT企業において想定されるビジネスリスクの一覧があり、リスク項目の洗い出しは、何を行うにしても最初に必ず必要ですから、これから始めて行うにしても、すでに定期的に行っているとしても、こうしてまんべんなくリストアップしていただけると、漏れなく検討することができます。

情報セキュリティマネジメントの基礎知識も、わかりやすくまとまっています。特にフェーズの解説がわかりやすいです。特定、制御、検知、対応、復旧という5つのフェーズを平常時と非常時で図解していますので、すっきりと理解できます。

情報セキュリティのマネジメントサイクルと、経営サイクルについて述べている 部分もあり、どうしても情報セキュリティ対策をしようとしたら、別の枠組みで追加の対策となってしまいがちなところを、経営のサイクルのなかで考えることができるよう配慮されています。継続するためにも、こうした考え方は重要です。

情報セキュリティが指標化できます

この資料の中に、情報セキュリティの指標化について記載されています。

情報セキュリティに取り組んでいると、テレワークのセキュリティ対策をしたりと、費用をかけて導入したセキュリティ対策機器やサービスの、「効果を示せ」と言われて困ったことがあると思います。経営上必ず、「費用」対「効果」と言われます。

情報セキュリティ指標を経営の数字に展開できるとあり、これを参考に、環境対策などの数値化しにくい分野に応用できそうです。

ケーススタディとして、テレワークを題材としたバランスと・スコアカードの利用例があり、具体的に学ぶことができます。特にここは、おすすめの部分です。

情報セキュリティの説明責任

CISOは、経営における説明責任がありますから、報告書の作成が欠かせません。

この資料には、セキュリティ報告書のイメージまで記載されています。

私も、マネジメントレビューへの資料として、そして、社外へ公開するCSR報告書にさっそく参考にしたいと思います。

経営、情報セキュリティの知識を一通り学ぶことのできる、とても貴重な資料ですので、大切に活用していきたいと思います。

自己学習、社内教育資料としてこれほど、ありがたいものはありません。

巻末にある参考資料一覧も、いいですね。困ったとき、どんな内容であっても、この中のどこかにヒントがありそうです。

とても内容の濃い資料ですので、魅力を伝えきれません。ぜひ、ご一読ください。