ITと情報セキュリティガバナンス

ITガバナンスと情報セキュリティガバナンス

ガバナンスという言葉が最近よく言われるようになりました。

企業におけるガバナンス(コーポレート・ガバナンス)とは日本語で言うと企業統治とも呼ばれますが、その目的は(1)企業不祥事を防ぐということと、(2)企業の収益力を強化することの2点にあります。

2000年代のエンロン、ワールドコムや日本でも鐘紡や大王製紙などの企業不祥事などの事件を受けてコーポレート・ガバナンスは強化される方向が続いています。

経営者は、企業組織を適切に管理し、収益を上げるという大変難しい仕事をこなしていかないといけません。

ITは「導入すればよい」から、企業の業務目的や戦略と合致したITをいかに導入し、またITにまつわるリスクに対してどのように対処していくかを経営者自らが「統治」していくことが重要になっています。コーポレート・ガバナンスの目的でいう1つ目の企業不祥事を防ぐことがITでいうと、情報セキュリティガバナンスに相当し、2つ目の企業の収益力を強化することがITガバナンスに相当します。

ITガバナンスと情報セキュリティガバナンスは以下のように策定していくことになります

ITガバナンス

経営者は、企業を適切に運営し、利益を創出し、ステークホルダーと呼ばれる利害関係者に対して価値を創造していくことが求められています。経営環境はITの進化によって大きく変化しており、現在では事業戦略にITは欠かせないものになってきています。企業にとって、ITをどのように活用して事業戦略に生かしていくかという、情報システムの戦略の良しあしが企業の価値創造にも大きく影響するようになってきました。

経営者が、ITガバナンスを実践するためには、組織の価値を高めるために実践する行動し、情報システムのあるべき姿を示して、組織として情報システム戦略の策定及び実現していくことが必要です。同時に、ITガバナンスを実践する上で、情報システムにまつわるリスクだけでなく、予算や人材といった資源をどのように他の分野や情報システムとの間で配分していくかも考えなければなりません。

事業戦略とITの戦略の整合性を取り、方針と目標を明確にして、適切なITシステムを開発または選定して、最終的には事業の遂行を的確に支援するようなITシステムの導入を実施する。この一連の流れを経営者の立場からサポートしていくのがITガバナンスとなります。

情報セキュリティガバナンス

情報セキュリティとは、本来はコストではなく、企業が事業目的を達成することを妨げる様々なリスクに対処するためのものです。そのため、情報セキュリティ戦略とは、経営者が定める事業の戦略と合致するように策定していく必要があります。

そのためには、①企業の事業目的と合致した情報セキュリティ方針を決め②明確な達成目標を立てて情報セキュリティ戦略を策定します。③そしてその戦略に従って、組織の事業や活動目標などの中で管理できるレベルまでリスクを管理していきます。

この一連の作業を経営者として実施者をサポートし、情報セキュリティの態勢を構築するのが情報セキュリティガバナンスとなります。

企業ごとに組織文化も異なりますし、リスクを容認する度合いも異なってきます。そのため情報セキュリティガバナンスは、企業の文化、事業の目的、リスクの許容度などによって自社オリジナルのものを作り上げていかなければなりません。

忘れてはいけないのはセキュリティの目的は情報システムに対するリスクを「ゼロ」にすることではないということです。リスクを恐れるあまり、新たな事業展開を妨げたり、過度に人々を縛り付けるものであってはいけません。セキュリティの目的は、組織の業務をサポートし、組織が保持する資産を保護し、組織が継続して存在することを確実にすることです。

情報セキュリティガバナンスを通じて、業務とリスク対策のバランスを取りながらセキュリティ対策を実施することが肝要です。

情報システム監査人は、経営の立場からITガバナンス、情報セキュリティガバナンスの構築を支援する専門家です。ITを導入したいが何から手を付けたらいいかわからない、情報セキュリティ対策をしたいが何をどこまですればいいのかわからないといったお悩みをお抱えの経営者・IT担当者の方はぜひ弊社にご連絡ください。ガバナンスの構築からポリシー等の策定、戦略の策定と評価まで一貫してサポートさせていただきます。