![[e]](../../imgs/icon_english.gif){kind=icon}
English![[s]](../../imgs/sitemap_color.gif)
サイトマップ
ガバナンスの向上のために
ITガバナンスの構築・維持・向上が経営課題になっています。そのためには、それぞれの業務執行担当責任役員(CEO/CFO/COO/CIOなど)及び、関係する部門の方々が各々の役割を確実に実行していくことが求められます。
一度構築されたガバナンス体制は、組織変更や経営目標に変化が起きない限りその維持は可能ですが、それらに変化が起きるとその変化に対応できず、得てして形骸化してしまうケースが良くあります。
また、業績が落ち込むことで、利益至上主義に企業が走った場合に蔑ろになるのがガバナンス体制の維持になります。確かに優先順位は企業業績の向上ですが、仮に企業業績向上に総力を結集し業績が上がったとしても、コンプライアンスに問題があった場合は、企業は社会から退出を求められるのが現在の状況です。従って、ガバナンスの維持と業績向上は切っても切れない関係になります。
オーテックでは一日一問を皆様にご紹介しています。ご紹介するには、オーテックでも一日一問を活用していることは言うまでもありません。今回は情報セキュリティマネジメントシステム(ISMS)の認証を受けているオーテックが、(財)日本品質保証機構(JQA)のISMSの維持に関する審査を受けた際に、一日一問を活用して役職員に周知していることが高く評価されたことをお知らせします。今回、特に評価された点は「教育」に関する項目です。その内容を一部抜粋してお知らせします。
<ISMSの評価基準>
【教育・訓練,認識及び力量】
組織は、ISMSにおいて、明確にされた責任を割り当てられた要員全てが要求される業務を実施する力量をもつことを、次の事項を実施することによって各人にすること。
a)ISMSに影響がある業務に従事する要員に必要な力量を明確にする。
b)これらの必要な力量がもてるように教育・訓練を実施するか、又は、他の処置を講
ずる(例えば、的確な要員を雇用する)。
c)高じた処置の有効性を評価する。
d)教育・訓練、技能、経験及び資格についての記録を維持する。
組織はまた該当する要員全てが、自らの情報セキュリティについての活動のもつ意味とその重要性を認識し、ISMSの目的の達成に向けて自らがどのように貢献できるかを認識することを確実にすること。
【記録の管理】
記録は要求事項への適合及びISMSの効果的運用の証拠を示すために作成され、維持されること。また、これらの記録は保護及び管理されること。その際、当該ISMSは該当する法的又は規制要求事項、及び契約上の義務を考慮に入れること。記録は読みやすく容易に識別可能で、検索可能な状態であること。記録の識別、保管、保護、検索、保管期間及び廃棄に関して必要な管理策を文書化し実施すること。既述されているプロセスの実施状況に関する記録及びISMSに関連する全ての重大なセキュリティインシデントの発生に関する記録を維持すること。
<オーテックが評価された点>
◆実施率が100%を見込まれること。
・PC起動後必ず選択問題が表示される機能の為。
・時間設定にて選択問題が表示される機能あり。
・不正解の問題については正解するまで繰り返される。
◆日々継続研修の記録がシステム上に記録されること。
・実施履歴としてデータベース上に回答履歴が保存される。
◆システムに記録されたデータが分析でき、対象者の理解度や特定項目の社内理解度を把握できること。
・DB上の記録をCSV形式で出力でき、分析・レポート作成が自由に行える為。
