TOP
>
情報セキュリティ
> CSRにおける情報セキュリティ
企業の社会的責任に必要な情報セキュリティマネジメント
第1回:情報セキュリティ管理に関連する規格・法制など(前編)
著者:
みずほ情報総研 牛尾 浩平
2006/5/18
1
2
3
次のページ
CSRにおける情報セキュリティ
1990年代後半以降の環境問題への関心の高まりと同時に、企業の社会的責任(CSR:Corporate Social Responsibility)にも関心や期待が日本国内でも高まっていった。特に、社団法人経済同友会が2003年3月に『「市場の進化」と社会的責任経営-企業の信頼構築と持続的な価値創造に向けて』を公表して以来は、大企業を中心に広く社会的責任を果たすための取り組みが積極的に行われるようになってきている。
CSRの概念は広く、企業の理念や価値観に応じて重点課題や方針が異なる。また、ステークホルダーの利害や短期・長期の目的の相違などにより、その共通認識が不明確な場合もある。CSRに関連するテーマとしては、「社会」「環境」「経営戦略」「人権」「事業継続」「コンプライアンス」「リスク管理」「情報セキュリティ」などがある。本連載では、企業が社会的責任を果たすための情報セキュリティマネジメントに焦点を置き、説明する。
近年の情報セキュリティ管理に関連する法制などの動向
まずは近年の国内外の情報セキュリティ管理に関連する法制などの動向を振り返ってみる。この流れを把握することで、情報セキュリティマネジメントを行なうにあたっての留意すべき点を整理したい。
情報セキュリティ管理の規格や認証制度などの動向
近年の情報セキュリティ管理の規格や認証等の動向を財団法人日本情報処理開発協会(JIPDEC)が提示している(図1)。この図を中心に説明する。
図1:ISO規格及びJIS規格制定等のスケジュール
出所:財団法人 日本情報処理開発協会「ISO/IEC 27001への移行計画」
(画像をクリックすると別ウィンドウに拡大図を表示します)
OECD「情報システムのセキュリティのためのガイドライン」
図1以前の1992年には、OECD(Organization for Economic Co-operation and Development:経済協力開発機構)が「情報システムのセキュリティのためのガイドライン」を制定し、セキュリティの9原則を示した(表1)。
1992年のガイドラインの9原則
2002年のガイドラインの9原則
責任(Accountability)
認識(Awareness)
倫理(Ethics)
多面的統制(Multidisciplinary)
均衡(Proportionality)
統合(Integration)
適時性(Timeliness)
再評価(Reassessment)
民主主義(Democracy)
認識(Awareness)
責任(Responsibility)
対応(Response)
倫理(Ethics)
民主主義(Democracy)
リスクアセスメント(Risk assessment)
セキュリティの設計及び実装
(Security design and implementation)
セキュリティマネジメント(Security management)
再評価(Reassessment)
表1:OECDのセキュリティ9原則
参考:総務省「OECD情報セキュリティ・ガイドライン改訂版の公表について」、
情報処理振興事業協会 セキュリティセンター
「情報システム及びネットワークのセキュリティのためのガイドライン」など
これがOECD加盟国の情報セキュリティ対策や国際的な標準化の動きに影響している。また2002年には、インターネットや電子商取引の普及などにともなってシステムの相互接続が増加していることを踏まえ、ネットワーク化されたシステムをセキュリティの観点から見直しが行なわれた。
1
2
3
次のページ
著者プロフィール
みずほ情報総研株式会社 システムコンサルティング部
コンサルタント 牛尾 浩平
2002年、東京大学大学院工学系研究科修了、富士総合研究所(現みずほ情報総研)に入社。次世代情報システム基盤に関するコンサルティング、ナレッジマネジメントパッケージソフト開発など様々なプロジェクトに参加した後、2003年より情報セキュリティ管理に関連するコンサルティング、監査、セキュリティポリシーの策定支援などの業務を主に実施。システム監査技術者。
INDEX
第1回:情報セキュリティ管理に関連する規格・法制など(前編)
CSRにおける情報セキュリティ
BS7799
個人情報保護に関連する制度や法律などの動向
