Comments
Description
Transcript
情報セキュリティ報告書について
METI 経済産業省 資料8 情報セキュリティ報告書について 平成21年5月22日 経済産業省 情報セキュリティ政策室 0 企業の情報セキュリティ対策の促進~情報セキュリティガバナンスの確立~ METI 経済産業省 (1) (1) IT事故発生のリスクが明確でなく、適正な情報セキュリティ投資の判断が困難 IT事故発生のリスクが明確でなく、適正な情報セキュリティ投資の判断が困難 問題点 9 9 投資判断のための指標が求められているのではないか。 投資判断のための指標が求められているのではないか。 (2) (2) 既存の情報セキュリティへの「対策」「取組」が企業価値に直結していない 既存の情報セキュリティへの「対策」「取組」が企業価値に直結していない 9 9 情報セキュリティに係る取組が、企業価値向上に寄与する仕組みが必要ではないか。 情報セキュリティに係る取組が、企業価値向上に寄与する仕組みが必要ではないか。 (3) (3) 事業継続性確保の必要性が十分に認識されていない 事業継続性確保の必要性が十分に認識されていない 9 9 IT事故発生時の対応手続きを事業継続の観点から定めておくことが必要ではないか。 IT事故発生時の対応手続きを事業継続の観点から定めておくことが必要ではないか。 問題点を克服し、企業が情報セキュリティガバナンスの確立を促進するツール 情報セキュリティ対策ベンチマーク ¾ 情報セキュリティ対策のセルフチェック 等に有用なベンチマークの指標を開発 ¾ さらに、IT事故データ収集のあり方や 被害想定額算出手法について調査し、 ベンチマークデータと連動したリスク評 価の可能性を模索 企業・社会への普及方策 ・情報セキュリティ格付 ・政府調達への活用 ・損害保険との連携 等 情報セキュリティ報告書モデル 事業継続計画策定ガイドライン ¾ 企業のコンプライアンスや社会的責任 を説明するIRの一環として、自らの情 報セキュリティポリシーやそれを実現 する対策の実施状況について対外的 に公表する「情報セキュリティ報告書」 を提唱し、そのモデル案を策定 ¾ 企業がIT事故発生時にも事業運営を 継続的に維持するための事業継続計 画(BCP)について、その策定手順や 検討項目、事例等を紹介する「事業継 続計画策定ガイドライン」を策定 既存施策との連携 ・ISMSや情報セキュリティ監査の「入口」 としての活用 (セルフチェック→第三者認証・評価へ) 等 企業における情報セキュリティガバナンスの確立 http://www.meti.go.jp/policy/netsecurity/sec_gov-TopPage.html 1 (参考)情報セキュリティ対策実施上の課題・効果 METI 経済産業省 情報セキュリティ対策実施上の問題点 情報セキュリティ対策実施の上で費用対効果が 見えづらいことが大きな課題になっている 情報セキュリティ対策のセキュリティ向上以外の効果の推移 (%) 0 10 20 15.5 顧客・取引先からの評価の上昇 出所:不正アクセス行為対策等の実態調査(平成21年3月警察庁) 市場や投資家からの評価の上昇 製品やサービスの質の向上 40 50 60 25.1 2.0 4.1 8.2 8.8 業務効率や生産性の向上 セキュリティ向上以外の主な効果として 顧客等外部からの評価の上昇、業務効率や生産性の向上 などが挙げられる。 30 14.8 21.1 特に効果はなかった 41.8 11.3 その他 H17年度 50.1 18.5 H18年度 出所:平成19年情報処理実態調査(平成20年7月経済産業省) 2 組織的対策の推進 ~情報セキュリティ報告書モデル~ METI 経済産業省 ¾企業の情報セキュリティの取組みの中でも社会的関心の高いものについて情報開示することにより、 当該企業の取組みが顧客や投資家などのステークホルダーから適正に評価されることを目指す。 ¾不要な情報まで開示してしまうことがないよう若干の配慮が必要。 情報セキュリティ報告書の記載項目(フルセット) ④情報セキュリティ対策の計画、目標 ①基礎情報 9報告書の発行目的 9利用上の注意 9対象期間、責任部署等 9アクションプラン 9数値目標(対策ベンチマークのスコア等) ⑤情報セキュリティ対策の実績、評価 ②経営者の情報セキュリティに関する考え方 9企業の情報セキュリティに関する取り組み方針 9対象範囲対象範囲 9報告書におけるステークホルダーの位置付け、 ステークホルダーに対するメッセージ ③情報セキュリティガバナンス 9情報セキュリティマネジメント体制 (責任の所在、組織体制、コンプライアンス等) 9情報セキュリティに関わるリスク 9情報セキュリティ戦略 9計画に対する実績、評価 9事故報告 ⑥情報セキュリティに係る主要注力テーマ 9 特に強調したい取組み、テーマを選択し、その状況を 紹介(例:個人情報保護、事業継続計画等) ⑦第三者評価・認証 9 第三者評価・認証に係る取り組み - 認証の取得状況(ISMS、プライバシーマーク) - 情報セキュリティ監査の実施状況 等 9 記載項目の選択や記載内容のレベルは企業が自社の事情に応じて選択可能 9 他の報告書の一部として組み込む形もありうるし、単体の報告書という形もありうる 情報セキュリティ報告書 (参考)上場企業の情報セキュリティに係る情報開示状況/ 情報セキュリティ報告書発行例 METI 経済産業省 情報セキュリティに係る開示状況 15% 11.8 12.0 9.5 10% N=国内上場企業 出所:経済産業省調査(2009年3月) 6.1 5% 0% (富士ゼロックス 2005年度 (N=3,782) / 2006年度 (N=3,670) 2007年度 (N=3,920) 2008年度 (N=3,898) ▲情報セキュリティ報告書 作成例 RICOH /NTTデータ /キヤノンマーケティングジャパン/富士通) 4