会社組織・情報技術・情報セキュリティの関係に関して、『ITガバナンス』『情報セキュリティガバナンス』は共に組織統治のために必須の要素

『ビジネス目的』と整合を取る

ことの重要性が認識されています。

情報資産は、人が直接生成・加工するものを含むため、情報技術の範囲外のより広いリスクを分析し対応する必要があり、『ITガバナンス』とは独立した『情報セキュリティガバナンス』の枠組みが必要であるとされています。

ISO/IEC 27014(JIS Q 27014) Concept

  • 情報セキュリティガバナンスを定義する
  • 情報セキュリティガバナンスと組織のガバナンス、ITガバナンスとの関係を明確にする
  • 情報セキュリティガバナンスの重要分野を特定する
  • 情報セキュリティガバナンスの枠組みが情報セキュリティマネジメントシステムを評価、方向付け及びモニタリングする場合にどのように使われるのかを明示する
  • 情報セキュリティガバナンスの目的・原理・プロセスを確立する


ISO/IEC 27014(JIS Q 27014)の利用方法

  • 組織による情報セキュリティガバナンス確立を支援するための利用
  • 組織の上位管理者に対する情報セキュリティガバナンスの教科書として
  • ISO/IEC 27000規格群とISO/IEC 38500規格群との関連

情報セキュリティガバナンスの目的

-情報セキュリティの目的及び戦略を、事業の目的及び戦略に合わせる(戦略の整合)
-経営陣及び利害関係者に価値を提供する(価値の提供)
-情報リスクに対して適切に対処されていることを確実にする(説明責任)


期待される結果


-情報セキュリティの状況に関する経営陣の見通し
-情報リスクに関する素早い意思決定
-情報セキュリティへの効率的、効果的な投資
-外部要件(法制度、規制又は契約)の遵守




ISO/IEC 27014:2013(JIS Q 27014:2015)制定の趣旨・解説事項を引用させていただきました


JIS Q 27014:2015をもとに情報セキュリティガバナンスを理解しましょう

報告書様式