デルタISMSモデルの提案－事故データベースに基づくISMSの強化

摘要

本稿では事故データベースに基づきISMSを強化する「デルタISMSモデル」を提案する．組織の情報セキュリティマネジメントを進めるうえで経営陣の関与は重要であるが，従来，「費用対効果の説明手法」や「経営者の認識·理解の向上のための手法」の改善は十分でなかったという課題に対して，組織で実際に発生した事故データベースに基づき，経営陣と管理者·従業員層が共有できるKPIを提供することで，経営陣の情報セキュリティマネジメントの関与を促し，組織全体のPDCAサイクルの実現を目指す．事故データベースに基づくリスクアセスメント情報セキュリティガバナンスの経営陣とCISO間のモニタリング項目に対して余分な情報がないことを示す．デルタISMSが提供する情報は経営陣に対して状況や課題を的確に示すことで理解を促進させることができ，リスク管理方針の評価に有用な情報となる．