CISOの役割とは?
以前にも、ここで書いた「日本CISO協会」が、活動を始めたようです。(参考記事をご参照ください)
HPには、活動の目的がこのように書かれています。
●目的
企業のセキュリティ責任者、および管理者が集い、最新のIT情報、ITセキュリティ、 ITガバナンス、コンプライアンス、RM(リスクマネジメント)、事業継続等企業経営に直結する情報の発信、 また会員同士の情報交換の場を提供する。
各企業の問題解決、方向決定の場としていく。●活動のテーマ
・ITセキュリティの最新動向
・IT内部統制とISMS、Pマークとの関連
・導入・維持・運用等の事例紹介
・ISMS、プライバシーマーク、PCIDSS 等の導入、維持、管理
・ISO27001、PCIDSS 等の規格の最新版情報提供・対応方法
・IT コンプライアンスー法律、ガイドラインの最新情報・対応方法
・管理者・推進担当者向けセキュリティの考え方
・新しいIT 技術(ツイッター、iPad、クラウド等)とそのセキュリティ対応
・企業活動とISMS、プライバシーマーク等の意義と有効性
・各種新しい法律・ガイドラインの情報提供
・海外動向
とりあえず、「ガバナンス」言葉はあるものの、「マネジメント」に偏っているように見えます。(ISMS、プライバシーマークという言葉が目立つ)
これも以前にここでも書いたのですが、CIO/CSO/CISOの業務は「マネジメント」ではなく、「ガバナンス」なんですけどね。(参考記事をご参照ください)
ちなみにCOBITだと、こんなことが書いてありますね。
● 情報セキュリティガバナンスの目標
企業として、ビジネス目標に合致し、かつ、適用される法律と規則に適合した、情 報セキュリティ戦略に関する保証を提供するためのフレームワークを確立し、維持すること。● 情報セキュリティガバナンスのタスク
・ビジネス戦略・方向性をサポートする、情報セキュリティ戦略の策定
・企業全体の情報セキュリティに対する、経営上層部のコミットメントとサポート
・情報セキュリティガバナンス活動を含めた各自の役割と責任の明確化
・報告と意思疎通のチャネルの確立
・情報セキュリティに及ぼす影響の評価
・情報セキュリティポリシーの確立、維持
・情報セキュリティの手順とガイドラインの制定の保証
・情報セキュリティプログラム投資のサポート
このあたりが、あるべき姿としてのCSO/CISOの業務かと。
この団体には、こうした方向性での活動を期待したいです。
<参考記事・このブログ>
・日本CISO協会が発足
・「CSO/CISO」の人材像(1)
・「CSO/CISO」の人材像(2)
・「CSO/CISO」の人材像(3)
・「CSO/CISO」の人材像(4)
・「CSO/CISO」の人材像(5)
| 固定リンク
「プロフェッショナルスキル」カテゴリの記事
- 「ITプロフェッショナルとしてのキャリアを加速させる--3つの方法」(2011.10.07)
- 「スペシャリスト」でもなく「ゼネラリスト」でもなく、「バーサタイリスト」(2010.10.12)
- 真のプロフェッショナル、10の心得(2010.09.13)
- CISOの役割とは?(2010.09.06)
- 情報セキュリティの「倫理」とは、守秘義務だけ?(2010.06.29)
この記事へのコメントは終了しました。
コメント
経営とITが腹に落ちてなくて、経営とセキュリティが腹に落ちるのだろうか?IT戦略なくしてITガバナンスがあるのだろうか?まずはそこの突破を行ってほしい。そうでないと経営者からみるとITバカ・セキュリティバカの自己満足で終わるような気がする。
投稿: Dry2 | 2010年9月 6日 (月) 08時53分
Dry2さん
まずは、セキュリティが戦略的ではなく、さらには経営戦略やIT戦略にも合っていない・・・
そんな状況のまま、運用や維持をしても効果は期待できないと思っています。
現在行っている運用や特定の制度の正当性の主張、という目的が強いような気配を感じました。
投稿: Hase | 2010年9月 6日 (月) 21時43分