情報セキュリティ改善計画策定支援

情報セキュリティ改善計画策定支援 必要性

昨今、情報セキュリティをはじめとする管理態勢の整備は、情報セキュリティマネジメントシステム(ISMS)を軸とした管理手法が主流となっています。
また、各種セキュリティ管理策については、情報セキュリティマネジメントシステム(ISMS)のリスクアセスメントに基づき、ISO27002(JISQ27002)のベストプラクティスを参考に実施(実装)される組織が目立ちます。この情報セキュリティマネジメントシステムと各種セキュリティ管理策は、定期的に有効性測定を行い、段階的に改善し、最適化していかなければ導入効果は薄くなります。
組織の身の丈や現場の業務プロセスと乖離した、マネジメントシステムやセキュリティ管理策は、むしろ組織の重荷となり、業務にも悪影響を及ぼしかねません。

しかしながら、多くの組織では、情報セキュリティマネジメントシステム(ISMS)の構築及びセキュリティ管理策は導入(実装)したものの、次年度以降の改善(最適化)対応が疎かになっているのが実情です。

下記のような疑問・課題をお持ちであれば、改善計画策定支援のサービスがお役に立ちます。

◆ISMSや各種セキュリティ管理策が、本当に役立っていると思えない・・・
◆情報セキュリティを整備しても、インシデントは一向に減少していない・・・
◆ISMSや各種セキュリティ管理策が、特定の組織・業務(システム・サービス・手続き)にだけ適用されており、社全体で足並みが揃っていない・・・
◆情報セキュリティを初年度に整備したものの、次年度以降に何をすれば良いのか分からない・・・
◆中長期的に、情報セキュリティをどのようなテーマで整備・運営していけば良いのか分からない・・・
◆情報セキュリティの構築・改善計画書(運営計画書)の作り方が分からない・・・

コスト・労力をかけて整備した情報セキュリティマネジメントシステムや各種セキュリティ管理策を、形骸化させる事なく自社に浸透化させ、また最適化するためには、場当たり的な対応ではなく、組織のIT戦略・情報セキュリティ戦略を反映した「情報セキュリティ改善(運営)計画」を整備することが重要です。

情報セキュリティ改善計画策定支援 必要性

GSXコンサルティングの特色

point1

弊社は、ISMS(ISO27001)、ITSMS(ISO20000)、QMS(ISO9001)、EMS(ISO14001)、PMS(JISQ15001)などの各種マネジメントシステムの構築、見直しをご支援するための専門部署(マネジメントコンサルティング事業部)を設置しており、マネジメントシステムの構築・改善(最適化)に関する豊富な支援経験があります。

point2

情報セキュリティの黎明期より、多様な業種業態・規模のお客様に対する情報セキュリティの導入・運営・改善(最適化)支援に携わっており、情報セキュリティの長短所や構築・改善時の重点ポイント等を熟知しております。

point3

組織のニーズ、身の丈(情報資産の重要度を踏まえた情報セキュリティの必要性、各種セキュリティ管理策の実現可能性)を踏まえ、“実効性、メンテナンス性”を重視した計画書を整備いたします。(お客さま目線でのご支援)

point4

近視眼的で場当たり的な改善計画ではなく、抜本的な改善、中長期的なスパンでの情報セキュリティレベルの向上・最適化を見据えた、経営層も関与しやすい計画書を整備いたします。

point5

すでに整備・運用中の他の計画書・方針との整合性確保・統合化対応などにも柔軟に対応いたします。

構築ステップ

step1

現状調査
経営層(CIO/CSIOなど)、情報セキュリティ主管部門、関連部門に対するヒアリング

step2

課題抽出
現状の問題点、今後の課題等を可視化

step3

改善(最適化)計画の策定
お客様と十分協議し、改善事項、優先度、実施スケジュール、実施担当者、実現方法などを計画書として具体化

step4

改善(最適化)計画書のレビュー
経営層、情報セキュリティ主管部門、関連部門による計画書のレビュー

step5

改善(最適化)計画書の見直し
実効性の観点から不十分な点を見直す

step6

改善(最適化)計画書の制定
計画書の承認手続きを行い、計画書を有効化

導入後の効果・メリット

情報セキュリティ改善計画策定支援を利用していただくことにより、下記のメリットがあります。

■形式的・形骸化していた情報セキュリティマネジメントシステム、または各種セキュリティ管理策が、適切な改善計画に沿って改善(最適化)され、情報資産や業務に根付いたものとなります。
■実効性の高い改善(最適化)計画により、無理・無駄なく情報セキュリティの改善(最適化)が図れます。
■情報セキュリティ・インシデント(事件・事故)を着実に予防・減少していきます。
■組織のセキュリティマネジメントのレベル(成熟度)が着実に向上していきます。
■一人歩きしがちな情報セキュリティの取組みを計画化(見える化)することで、経営層や関連部門の関与を促進し、情報セキュリティ方針、経営戦略および各種計画との整合化・統合化を図れます。
■場当たり的な改善対応が減少し、各部門・各担当者の情報セキュリティに関する責任範囲および実施事項が明確化されます。

情報セキュリティ改善計画策定支援 改善のメリット

支援実績

■大手生命保険会社・情報セキュリティ部門 (ISMS導入後の改善計画整備)
■大手信販会社・コンプライアンス部門 (ISMS・PMS導入後の改善計画整備)
■大手通信事業者・経営管理部門 (ISMS・PMS導入後の改善計画整備)
■大手SI事業者システム開発・運用部門 (ISMS・QMS・ITSMS導入後の改善計画整備)

Q&A

Q1

情報セキュリティ改善(最適化)計画書整備の所要期間はどれくらいですか。

A1

情報セキュリティの主管部門が明確化されている事を前提として、3ヶ月~5ヶ月程度です。

Q2

計画書はどのようなイメージ(様式)で整備されますか。

A2

縦軸には各改善事項を詳細化し、横軸には実施期間、実施担当、優先順位、検証方法などを記載します。いわゆるガントチャートのイメージです。マイクロソフトExcel(またはProject)で作成いたします。

Q3

計画書は、いつからいつまでの作業期間をカバーしていますか。

A3

改善事項の優先度(問題の深刻さ、実現可能性の高さ)にもよりますが、本作業に着手した際の当該年度から3~10年先の中長期的なスパンまでカバーすることが可能です。貴社のニーズに応じて、最適なスパンでの計画書を整備いたします。

Q4

実際の改善作業まで支援していただけるのですか。

A4

本サービスに関しては、「改善計画書の整備」が主目的となります。実際の改善作業につきましては、お客様側で実施いただくことになります。