見出し画像

セキュリティ対策の遵守

 「内部統制評価基準 勝ち抜く会社の800のポイント」は特に「業務の有効性と効率性」を基軸にした「内部統制」の有効性を診断する評価基準です。この評価基準を活用した内部統制の仕組みづくりでは、内部統制に関わる組織経営のプロセスを8つの側面(カテゴリ)に分けて、具体的に仕組みに落とし込んでいく方法をとっています。

 内部統制評価基準の8つのカテゴリーの5つ目は
5.知の経営の実現
です。

 データ・情報・知およびITシステムを守るための情報セキュリティ対策について確認します。

5.(10)セキュリティ対策の遵守
 ITデータの流失と悪用に関するセキュリティ対策がルール化され、厳格に守られていますか。

 顧客データや技術情報、組織企業が持つ個人情報などの流出や盗難など、情報セキュリティに関する事故が起きた場合、社会的な指弾を受ける可能性が高いこと、また場合によっては経営に重大な影響を及ぼすことは、十分に理解されていると思います。
 個人情報については、個人情報保護法によってそれを保護する義務があります。

 経営者は、こうした社会の要請を理解し受け止め、情報セキュリティの方針・ルールを明確にし、情報セキュリティ対策の仕組みを作り、周知・徹底します。

 具体的には
・情報セキュリティの管理対象となる情報やデータ
・情報セキュリティを主管する社内組織(担当者)
・情報セキュリティに関する事故が起きた場合の手続き
などを明確にします。

 ITシステムとしての対策としては
・ITデータへのアクセス制限(サーバールームへの入室制限、アクセス権限の定め、パスワード管理、履歴管理等)
・不正ソフトウェア対策(許可されていないソフトウェアのインストールの禁止、ウイルス対策、セキュリティパッチの適用等)
などがあります。

 こうした手順やルールは、教育・研修を行って、徹底します。

 ICTやインターネットの進歩に伴い、情報セキュリティにかんする新たな脅威も次々に出現しており、情報セキュリティの方針・ルールについては定期的に見直しを行い、必要に応じて改善していくことが求められています。

 情報セキュリティについては、次のカテゴリー6.情報セキュリティでさらに深掘りいたします。

★★

 内部統制評価基準改訂版「内部統制評価基準 勝ち抜く会社の800のポイント」については、NPO法人内部統制評価機構のウェブサイトをご覧ください。

 ボルドリッジ(ボルドリッジ・エクセレンス・フレームワーク)は、米国発の「証明された」経営フレームワークです。
 筆者らが翻訳した、ボルドリッジ・エクセレンス・フレームワークの要約版、「ボルドリッジ・エクセレンス・ビルダー【日本語版】」は、米国NISTのウェブサイトからダウンロードできます。ページ下方の Non-English Versions / Japanese を参照ください。


この記事が気に入ったらサポートをしてみませんか?