情報セキュリティ対策の必要性を経営者に訴求するため、JNSA(特定非営利活動法人 日本ネットワークセキュリティ協会)のホームページでは、国際標準規格ISO31000に則った実践の手引きとなる冊子「経営者のための情報セキュリティ対策」を公開しています。
冊子は1部、2部に分かれており、1部(本編)では、自分の会社(組織)が、今後発生しうるリスクに対し、どの程度対応できるかを検討するための基礎となる「組織状況の確定」プロセスなどが書かれており、2部では仮想モデルとして、ECサイト企業やスーパーマーケット、医療機関、製造業等を立てて、それぞれの情報セキュリティ対策のプロセスをサンプルとして紹介しています。
中身を見る限り「経営者のための」とありますが、専門用語が多いのでおそらくシステムまたはセキュリティ担当の社員が通訳する必要があるでしょう。
差し当たり経営者に対してセキュリティへの投資・予算組みを促すための資料として有効活用できそうです。
その際、事前にこの冊子を基に自社でのシミュレーションを行い、結局いくら掛かるのか、放置した場合のリスクはどの程度か、を経営陣に簡潔に伝えられるとよいのではないでしょうか。
経営者のための情報セキュリティ対策 ―ISO31000から組織状況の確定の事例―(西日本支部/経営者のための情報セキュリティ対策実践手引きWG)| NPO日本ネットワークセキュリティ協会
