 |
|
|
|
|
| 情報セキュリティガバナンス導入ガイダンス(経済産業省2009) |
| (3)評価(Evaluate) |
| 評価(Evaluate)は、方向付け(Direct)した方針や情報セキュリティ目的・目標が実現できたかどうかを評価する活動である。 |
| ◆ |
経営陣は
リスク管理方針が達成できたか、リスクが変化していないかを評価する。リスク管理方針に現実性が乏しく達成困難である、あるいは新たなリスクが顕在化している場合には、必要に応じてリスク管理方針を見直し、方向付け(Direct)をやり直すことになる。 |
|
| ◆ |
CISOは
情報セキュリティマネジメントのPDCAが的確に実施されたか、体制や経営資源は適切であったか、情報セキュリティインシデントは減少したか、法令違反は起きていないか、結果として情報セキュリティ目的・目標が達成できたかを評価する。 |
| 情報セキュリティ目的・目標が未達の場合には、その原因を分析するとともに、必要に応じて情報セキュリティ目的・目標を見直すことになる。 |
|
|
|
|
|
