昨今は情報漏えいの事件・事故のニュースがたびたび報道されていますが、記事では企業や組織において情報セキュリティやリスクマネジメントの考え方を解説しています。
企業・組織における情報は「資産」として管理することで、その品質を考えていきます。
情報資産の漏えい、流出、喪失といった情報セキュリティインシデントは、直接的な損害の他、時に市場からの信頼を失うなど経営に甚大な被害を及ぼす可能性があります。
この情報資産を管理する上での品質を高める近道として、「定義を知る」ことが挙げられます。
JIS規格 Q 27000では、機密性、完全性、可用性を3大要素として定義されており、これらの要素を適切な管理・保護されている状態が求められます。
そのためには3大要素を対象にリスクマネジメントを実施し、自社の現状を把握することからスタートします。
その上でソフト面、ハード面共に対応策を策定するのですが、当然ながらその実施にはコストが発生するため優先順位や、リスク評価の数値により対応の可否を決定し、コストの最適化を行います。
詳しくはこちら
情報セキュリティ品質を確保して企業と組織の信頼を守る!情シス部門の重要な役割≪情報システムの基礎知識≫ (1/2):EnterpriseZine(エンタープライズジン)
