情報セキュリティ部門Corporate Security Management と情報インフラ部門Corporate Information Management
これを独立させて存在させているが意味はあるのか。意味を有らしめるとしたら、情報インフラ部門は情報システム/情報サービスの企画・開発・運用を担当。情報セキュリティ部門は情報セキュリティの切り口で、インフラが及ばない領域(業務領域)も含め全体を包括的に管理することを担当。業務はインフラを前提としており、またセキュリティの概念がCIAなどと広義のため、両者のスパンの切り分けは容易でない。
結論: 経過措置として別々に設置したとしてもマネジメント上は統合させる。狭義のセキュリティ管理(事件事故・事業継続)の担当は従来のリスクマネジメント(RM活動)と合流させても良い。
CIO直下のコーポレート情報システム部門
ITガバナンス機能の構造はCOBITを参照した方が詳しい。
|
# |
機能 |
概要 |
(COBIT区分) |
|
1. |
統制管理機能 |
管理のためのルール作り |
モニタと評価 |
|
2. |
サービス企画機能 |
情報システム/ネットワークシステムの構築維持に関わる年度計画及び中長期計画策定。サービス企画 |
計画と組織 |
|
3. |
開発調達機能 |
|
取得とインプリメント |
|
4. |
保守運用機能 |
サービス監視、ユーザーサポートを含む活動 |
供給とサポート |
|
5. |
サービス利用 |
ユーザー部門の利用は「正しい教育・正しい利用・不具合の報告・改善要求・適切なコスト負担・など」を含む。 |
- ISMSはユーザー役割も求めている。 |
一般に、コーポレート部門は第1項:管理のレベルにも拠るが必須。第2項:企画/計画、第3項:開発調達、第4項:保守運用はアウトソーシングの対象となる。情報系子会社を置く場合は、第1項、第2項についてもアウトソーシング対象となりうる。
並存させる理由が少ないことは前にも述べた。情報システム部門が中心となって情報のCIA改善を行うのは当然であるが、割り当てられた予算・優先順位の中で実効性のある推進が可能になる。情報セキュリティ部門が単独で分離されただけの場合は、指導員・ご意見番にはなるが、実行に責任を負える立場とならず苦しい。CSR部門、企業体質改善部門としてなら違和感は無い。
情報システム部門は、事業戦略、技術戦略に基づくインフラ政策の立案実行を行い、その要件に当然ながらセキュリティ要求事項が織り込まれる。
ISO20000の検討を踏まえて、敢えて役割を分担するなら、全国津々浦々をカバーする視点から、情報セキュリティ部門・総務部門はISO27001の領域をカバー。情報システム部門はプラスISO20000に対応。経理部門はプラスJSOX対応の図式になる。