| <情報セキュリティ管理とは> 情報に係るリスクを軽減、排除し、情報資産の機密性、完全性および可用性を確保・維持するといった、システムリスクをコントロールすること。 |
| <情報セキュリティ管理の管理プロセス> セキュリティ管理=リスクマネジメント コントロールする管理プロセスが必要。 |
| システムリスク |
情報の喪失、改ざん、不正使用、外部への漏洩、並びに情報システムの破壊、停止、誤作動、不正使用等により、当方が損失を被るリスクをいう。 具体的には 1、システムの品質不良や運用上のトラブル等により、システムがダウンまたは誤作動し、損失を被るリスク 2、情報漏洩等により情報が悪用されたり、不正アクセス等により、コンピューターが不正に使用されたりして損失を被るリスク 3、地震・台風などの自然災害や社会インフラ(電力・通信)等の不慮の事故により、システムが損壊し損失を被るリスク |
| 事務リスク | 役職員及びその他の組織構成員が正確な事務を怠る、あるいは事故、不正等を起こすことにより経済面、信用面での損失を被るリスク及びこれに類するリスク |
| 人的リスク | 人材の流出・喪失等や士気の低下、役職員あるいはその他組織構成員による法令等遵守の観点から問題となる行為等(他のリスクに属するものを除く)により、損失を被るリスクおよびこれに類するリスク |
| 規制・制度変更リスク | 国内の税制、会計制度変更により、損失を被るリスクおよびこれに類するリスク |
| 有形資産リスク | 災害や資産管理の瑕疵等の結果、有形資産の毀損や執務環境などの質の低下等により、損失を被るリスクおよびこれに類するリスク |
| 風評リスク | 顧客やマーケット等において、事実と異なる風説・風評で、評判が悪化することにより、損失を被るリスクおよびこれに類するリスク(事実に基づく場合は風評リスクではない) |
リスク単位に所轄を明確にする管理体制をとる
| <インターネット関連システムのセキュリティの取組み> インターネット関連システムの利用にあたっては、一層のセキュリティ対策が必要。技術的な対策だけでなく、人的な対応も範囲に。 1、システムへのセキュリティ強化策 2、侵入防止対策 3、コンピュータウイルス対策 4、情報漏洩対策 5、セキュリティ教育 |
<研究会の様子>
 |
 |
 |
<グループワーク>
メンバーを4つのグループに分けて
「情報セキュリティ管理への取組み」について意見交換
| 外からの攻撃にはソフトを入れたりして対応をしているが、内部の対応はほとんど行っていないという意見が多かった。 また、予防をきちんとしておく必要があるが、起こってしまったときの対応をマニュアル化しておく必要があるという意見も共通認識としてあった。 |
<研究会を終えて>
| 今回は、金融機関の情報セキュリティ管理への取組みについて ―多様なサービスを支えるIT化 ―お客様の信用を支えるセキュリティ対策 ―総合リスク管理体制(リスクの計量化等) ―セキュリティ教育(eラーニングによる弱点補強型教育) などについて説明いただいた。 特に、「情報セキュリティ管理の管理プロセスについて」リスク対象の洗い出しとその重要性、そしてリスクの金額換算については必要性を強く感じるものの、リスクが適正にどう評価するかが、当面の課題である。 企業経営には様々なリスクとして ◇製造物責任、機密漏洩などの「経営リスク」 ◇地震、火災などの「災害リスク」 ◇情報漏洩・顧客情報漏洩などの「情報セキュリティリスク」などが挙げられる。 抱えるリスクを事前に認識し、どう発生予防に努めるか、そしてリスクが実際に発生した時はいかに被害を最小限にとどめるような活動を行うかがリスクマネジメント。 リスクの事前認識と対策づくりを進めながら、リスク発見を容易にする透明な経営管理の仕組みづくりを進め、発生した場合は、隠そうとせず、その説明責任を果たせるようマニュアルを作成する必要性を強く感じた。 |
へもどる