 |
|
|
|
|
| 情報セキュリティガバナンス導入ガイダンス(経済産業省2009) |
| (1)方向付け(Direct) |
経営層は、企業価値の向上と社会的責任の遂行のために、適法性・適正性に配慮した上で、経営戦略やそれに基づくリスク管理の方針を提示する。
リスク管理の方針とは「様々な経営リスクを横断的に捉え、どのリスクにどのような姿勢で取り組むのか(どの程度のリスクまで許容するか)を示す」ものである。 |
| 企業/企業グループのCISO(Chief Information Security Officer)が、経営もしくはそれに近い立場からこのリスク管理方針を情報セキュリティ分野において解釈し、情報セキュリティ目的・目標と、その実現に必要な体制(権限や責任)や経営資源の提供を設定する。 |
| 情報セキュリティ目的とは「リスク管理方針の実現に向けて、情報セキュリティ分野で達成すべき最終の状態(ゴール)」であり、情報セキュリティ目標は「情報セキュリティ目的を実現するために一定の時間内に達成すべき状態(マイルストーン)のことであり、達成度を計測する指標値として明確化される」と位置付けられる。 |
|
|
|
|
|
