情報セキュリティガバナンス施策ツール

　この図では、企業の情報セキュリティガバナンス確立レベルの、どの段階で開発された施策ツールを利用するのかを示しています。

　情報セキュリティガバナンスが確立されていない段階、つまり、情報セキュリティ対策がほとんど実施されていない段階においては、情報セキュリティベンチマークを用いて、自組織の情報セキュリティ状況をセルフチェックすることが推奨されます。良い評価を得られなかった場合には、ベンチマークの解説や、 「情報セキュリティ対策ベンチマーク活用集」を参照するなどして、情報セキュリティ対策の充実を計ってください。
　「事業継続計画策定ガイドライン（PDF：946KB）」を参考として組織の事業を継続するための体制・計画を策定し、組織の対外的な信頼確保のためにも計画の概要等を情報公開対象とすることを推奨します。事業継続計画に加え、情報セキュリティ報告書モデルを参考として自社の情報セキュリティへの取組を示すための情報を定期的にまとめて、環境報告書、CSR 報告書などと合わせてステークホルダーに公開することを推奨します。

ベンチマークウェブサイト

• 組織の情報セキュリティ対策自己診断テスト（ＩＰＡ）

情報セキュリティ対策ベンチマークとは

　情報セキュリティ対策をどこまで徹底するかということは、企業にとって大きな悩みの一つです。何もしないわけにはいきませんが、無尽蔵に予算をつぎ込むわけにもいきません。自社には何が足りなくて何をすべきなのか、正しく自己点検した上で、足りない点に適切に対処することが望まれます。そこで、経済産業省では、アンケートを通じて約900社のデータを収集し、その結果をもとに企業各社が目指すべき情報セキュリティ対策の取り組みの水準を導出しました。これらのデータは、企業の方々が自社の取組状況が妥当なレベルか否かを判断する一つの目安（ベンチマーク）となります。

情報セキュリティ対策ベンチマークのしくみ

　自社の状況について情報セキュリティ対策ベンチマークのWebサイトに入力すると、その結果から、回答企業の水準と望まれる水準のギャップを示すデータや、全体のスコア、推奨される取組み等が導出されます。

　入力するのは、セキュリティ対策の取組状況に関する項目（25項目）と、企業プロフィールに関する項目（15項目）の計40項目です。回答企業は、企業プロフィールから３つのグループ（高水準の対策が要求される層、相応の水準が要求される層、対策が喫緊の課題ではない層）に分類されます。「望まれる水準」は、これら３グループのそれぞれに設定されます。

回答される方

　情報セキュリティ対策ベンチマークでは、予算・体制等経営的判断を伴う項目を扱うことから、社内の情報セキュリティ対策の統括をご担当される役員の方（CISO：Chief Information Security Officer　情報セキュリティ最高責任者）、もしくはそれを補佐するお立場の方がご回答されることを想定しています。
　そのため、短時間で回答できるように評価項目の数を絞るとともに、また専門用語をなるべく避け、平易な言葉でわかりやすい内容にしました。

メリット

• 繰り返し利用して、対策の進捗を確認することが可能です。
• 評価結果を取引先に提示し、情報セキュリティ対策への取組みについて客観的に説明するのに役立ちます。
• 企業グループ内の統制を確立し、グループ全体の信頼性を高める上で、共通の尺度として利用することができます。
• 評価項目はISMS評価基準（Ver.2.0）の詳細管理策をベースとしているため、ISMSの認証取得に向けた準備としても有効です。
   

ガイドライン ダウンロード

• 事業継続計画策定ガイドライン（PDF形式：947KB）

事業継続計画とは

　自然災害の多い日本では、災害復旧計画や防災マニュアル等の備えは比較的充実しています。ただし、「事業継続」という観点ではどうでしょうか。事業継続計画（BCP：Business Continuity Plan）とは、地震や火災、水害等の様々なトラブルに対し、企業が存続の生命線である事業継続を死守するための行動計画です。近年は、サプライチェーンの傘下にある企業同士が相互に依存する構造にあるため、もしいずれかの企業において部品の供給が滞った場合には、サプライチェーン全体が危機に陥るかもしれません。そのため、取引先にBCPを整備し部品供給を継続することを要求するケースが見られます。さらに、ビジネスの様々な場面でIT（情報通信技術）に依存している現在、情報システムやネットワークの障害によって、事業を継続できなくなるケースも見られます。システムのたった一つのバグが、自社のビジネスチャンスを阻害するだけでなく、取引先やエンドユーザ、さらに株主にまで混乱と被害をもたらす可能性があるのです。したがって、ITを考慮したBCPの整備は、ネットワーク社会の企業に不可欠な取組みといえるでしょう。

事業継続計画の仕組み

　事業継続計画では、ビジネスインパクト分析を経て、自社の事業継続上ボトルネックとなる点を明らかにして、それをどのように守るかが一つの鍵になります。その際、何を優先し、どのような対策を選択するかは、各社の経営判断になります。

　事業継続計画は、例えば４つのステップに分けられます。

• 【ステップ１】BCP発動フェーズ
  • 災害の検知から、初期対応、BCP発動まで行います。
• 【ステップ２】業務再開フェーズ
  • まず、最も緊急度の高い機能を、代替設備・手段を講じて確保します。
• 【ステップ３】業務回復フェーズ
  • 次に、その対象業務の範囲を拡大していきます。
• 【ステップ４】全面復旧フェーズ
  • 最後に、代替設備・手段から平常運用に切り替えます。

　さらに、策定した事業継続計画を職員に正しく浸透させること、常に最適な状態になるように維持・管理すること、計画が形骸化することのないよう改善していくことが望まれます。そのためには、マネジメントの視点（BCM）が重要です。

ガイドラインの利用方法

　事業継続計画策定ガイドラインは、BCPについての基本的な考え方や策定のポイント、ケーススタディの紹介などにより、企業の方々の理解を促すための入門書として構成しました。本書を通じて、なぜBCPが必要か、BCP策定のために何をすればよいのか、どんなことに留意しなければならないかを把握し、社内への啓発や実現に向けた検討、既存の計画の見直し等に活用してください。

ガイドライン ダウンロード

• 情報セキュリティ報告書モデルガイドライン（PDF形式：573KB）

情報セキュリティ状況開示の必要性

　企業が社会から適正に評価されるためには、社会が必要としている項目についての情報開示が不可欠となっております。情報セキュリティ報告書は、企業の情報セキュリティの取組みの中でも社会的関心の高いものについて情報開示することにより、企業の取組みが顧客や投資家などのステークホルダーから適正に評価されることを目指すものです。

情報セキュリティ報告書モデル

　このため、企業の情報セキュリティに対する取組みを「情報セキュリティ報告書」として開示するためのひな形及びガイドラインをまとめました。 本ガイドラインでは次のような構成で「情報セキュリティ報告書」を編纂することを推奨しております。

• (1) 基礎情報

  報告書の発行目的、利用上の注意、対象期間、責任部署等

• (2) 経営者の情報セキュリティに関する考え方

  情報セキュリティに関する取組方針、対象範囲、報告書におけるステークホルダーの位置付け、ステークホルダーに対するメッセージ等

• (3) 情報セキュリティガバナンス

  情報セキュリティマネジメント体制（責任の所在、組織体制、コンプライアンス等）、情報セキュリティに関わるリスク、情報セキュリティ戦略等

• (4) 情報セキュリティ対策の計画、目標

  アクションプラン、数値目標等

• (5) 情報セキュリティ対策の実績、評価

  実績、評価、情報セキュリティの品質改善活動、海外拠点の統制、外部委託、情報セキュリティに関する社会貢献活動、事故報告等

• (6) 情報セキュリティに係る主要注力テーマ

  内部統制や個人情報保護、事業継続計画など特に強調したい取組、テーマの紹介、工夫した点等

• (7) （取得している場合の）第三者評価・認証等

  ISMS 適合性評価制度、情報セキュリティ監査、プライバシーマーク制度、情報セキュリティ関連資格者数、格付け／ランキング等