用語集
Glossary
情報セキュリティガバナンス
「社会的責任にも配慮したコーポレートガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」
出典:「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」(経済産業省ウェブサイト)
「コーポレートガバナンス」とは、企業統治と表されるように、企業経営を規律(管理監督)するための仕組みです。一方の「内部統制」とは、企業が経営戦略や経営目標を達成するために、組織として適用されるルールや仕組みです。
つまり「情報セキュリティガバナンス」は、コーポレートガバナンスの一環として確立されるものであり、その仕組みとして内部統制を適用するという位置づけになります。
同じくコーポレートガバナンスの一環として確立されるものとして、「ITガバナンス」があります。ITガバナンスとは、経営戦略に則ったIT戦略の策定、およびITの導入・運用を組織的に管理、統制し、リスクを最適化するための仕組みです。
図1-1 コーポレートガバナンス、ITガバナンスと情報セキュリティガバナンスの関係
出典:経済産業省ウェブサイト
(https://www.meti.go.jp/policy/netsecurity/downloadfiles/securty_gov_guidelines.pdf)
情報セキュリティガバナンスとITガバナンスの違いは、上の図をご覧いただければおわかりのように、情報セキュリティガバナンスにはITセキュリティ以外の情報セキュリティの要素が含まれるのに対し、ITガバナンスは情報セキュリティ以外のITの要素が含まるという関係性になります。
2009年6月に発表された経済産業省の「情報セキュリティガバナンス導入ガイド」によると、情報セキュリティガバナンスの概念は、「経営者が方針を決定し、組織内の状況をモニタリングする仕組み及び利害関係者に対する開示と利害関係者による評価の仕組みを構築・運用すること」と、より明確化されています。
詳細については、こちらの記事も参照ください。
https://infogov-labo.jp/articles/whats_information_security_governance/