皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリストこと、ITコーディネータの元村憲一です。
「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
ブログの第234回目は、このブログの本題になっている GEITについての続きです。
これまでほとんどは、ISACAの話題を中心にお伝えして来ましたが、第210回目からは、ISACAを離れて、日本のGEIT人材であるITコーディネータについて、お伝えしています。
【IT経営とは?】
ITコーディネータ制度は、経済産業省が、日本の競争力を回復する高度人材として、未来を見据えた構想の中で制度化した割には、10年以上経った現在でも、非常に認知度が低い状態が続いています。
前回に続き「IT経営」と言う言葉につて、お伝えして行きます。
経済産業省のIT経営ポータル(以下を参照)
URL:
https://www.it-keiei.go.jp/index.html
IT経営とは何か?
経済産業省が行っているIT経営の定義は、以下の様に書かれています。
IT投資本来の効果を享受するためには、目的なく、単に現業をIT化するだけでは、不十分であり、自社のビジネスモデルを再確認したうえで、経営の視点を得ながら、業務とITとの橋渡しを行っていくことが重要です。
このような、経営・業務・ITの融合による企業価値の最大化を目指すことを「IT経営」と定義します。
IT経営について
IT経営ポータルには、IT経営についてとして、以下の5項目が記載されています。
・7つの機能と20の行動指針
・IT経営力指標と4つのステージ
・IT経営協議会とIT経営憲章
・IT経営ロードマップ
・各種報告書
・IT経営力指標と4つのステージ
経済産業省では、経営者が取り組むべき事項をまとめた「ITの戦略的導入のための行動指針」をベースに、その達成度合いを4つのステージに分け、「IT経営力指標」として企業のIT活用度合いを客観的に測るための指標を作成しました。
7つの機能を評価軸として、ITの活用度合いを4つのステージに分けています。
自社がどのステージにいるのか、客観的に把握することができます。
以前説明した7つの機能は、以下の通りです。
Ⅰ.経営戦略とIT戦略の融合
Ⅱ.現状の可視化による業務改革の推進とITの活用による新ビジネスモデルの創出、ビジネス領域の拡大
Ⅲ.標準化された安定的なIT基盤の構築
Ⅳ.ITマネジメント体制の確立
Ⅴ.IT投資評価の仕組みと実践
Ⅵ.IT活用に関する人材の育成
Ⅶ.ITに起因するリスクへの対応
IT経営の達成度合いにより、以下の4つのステージに判定されます。
・第1ステージ:IT不良資産化企業群
・第2ステージ:部門内最適化企業群
・第3ステージ:組織全体最適化企業群
・第4ステージ:起業・産業横断的企業群
ITの活用度合いを測る上では、次の2つの観点から見て行く事が必要です。
1. 段階的指標
(活用の巧拙によって、達成度合いが変わってくる事項)
2. 基礎的事項
(活用の巧拙いかんを問わず、ITを導入する上で必要となる基礎的な事項)
Ⅶ.ITに起因するリスクへの対応
・段階的指標
第1ステージ
・経営層がITに関連起因する情報漏洩、ウィルス、不正アクセス等の脅威について理解していない
詳細には、以下の状態を指します。
◆経営層はITに関連・起因するリスク(情報漏洩・ウィルス・不正アクセス等)の脅威について理解していない。
◆従業員に対してITに関連・起因するリスクについて説明を行っていない。
◆システムの改ざん・不正アクセスを防ぐ仕組みは特にない。
第2ステージ
・経営層はITに関連起因する情報漏洩・ウィルス・不正アクセス等の脅威を認識している
詳細には、以下の状態を指します。
◆経営層はITに関連・起因するリスク(情報漏洩・ウィルス・不正アクセス等)の脅威を認識している。
◆従業員に対してITに関連・起因するリスクについての情報を提供している。
◆従業員に対して適切な情報セキュリティ対策や情報管理についての教育・研修・訓練を実施している。
◆アクセス権限やプログラムの登録管理の設定などにより、事前にシステムの改ざんや不正アクセスを防ぐ仕組みがある。
第3ステージ
・経営層はITに関連起因する情報漏洩・ウィルス・不正アクセス等の脅威を認識した上で、リスクを網羅的に把握し、対応策の検討を行っている
詳細には、以下の状態を指します。
◆経営層はITに関連・起因するリスク(情報漏洩・ウィルス・不正アクセス等)の脅威を認識している。
◆ITに関連・起因するリスクの潜在・顕在要因を網羅的に把握し、発生の可能性、発生した場合の影響などを予測し、対応策について検討を行っている。
◆従業員(パートタイマー・アルバイト、派遣社員を含む)に対してITに関連・起因するリスクについての情報を提供している。
◆従業員(パートタイマー・アルバイト、派遣社員を含む)に対して適切な情報セキュリティ対策や情報管理についての教育・研修・訓練を実施している。
◆アクセス権限やプログラムの登録管理の設定などにより、事前にシステムの改ざんや不正アクセスを防ぐ仕組みがある。
◆アクセスログをとってモニタリングするなど、システムの改ざんや不正アクセスの発生を発見できる仕組みがある。
第4ステージ
・経営層はITに関連起因する情報漏洩・ウィルス・不正アクセス等の脅威を認識した上で、リスクを網羅的に把握し、対応策の検討を行っている
詳細には、以下の状態を指します。
◆経営層はITに関連・起因するリスク(情報漏洩・ウィルス・不正アクセス等)の脅威を認識している。
◆ITに関連・起因するリスクの潜在・顕在要因を網羅的に把握し、発生の可能性、発生した場合の影響などを予測し、対応策について検討を行っている。
◆従業員(パートタイマー・アルバイト、派遣社員を含む)及び調達先や販売先など連携先企業に対してITに関連・起因するリスクについての情報を提供している。
◆従業員(パートタイマー・アルバイト、派遣社員を含む)に対してに対して適切な情報セキュリティ対策や情報管理についての教育・研修・訓練を実施している。
◆アクセス権限やプログラムの登録管理の設定などにより、事前にシステムの改ざんや不正アクセスを防ぐ仕組みがある。
◆アクセスログをとってモニタリングするなど、システムの改ざんや不正アクセスの発生を発見できる仕組みがある。
・基礎的事項
・情報セキュリティに関するポリシーや規程を定めた上で、推進体制を整備している
・システム停止などに伴う事業継続計画を策定している
・内部統制が良好に整備・運用されている
詳細には、以下の状態を指します。
◆情報セキュリティの推進体制を整備している。
◆情報セキュリティポリシーや情報セキュリティ管理規定を定めている。
◆機密情報・重要情報が外部に漏洩した際の対応マニュアルが整備されており、従業員は常時閲覧できる。
◆システム停止などに伴う事業継続計画を策定し、災害をはじめとする物理的リスクに対応できる体制・システムとなっている。
◆内部統制が良好に整備され運用されている。
◆CISO(情報セキュリティ統括専任担当)を設置している。
◆保管データの改ざん防止策として、電子署名とタイムスタンプ(時刻認証)を活用している。
基礎的事項を見ただけで、中小企業には、難易度が高いのが解ります。
まず経営者が、ITに起因するリスクが経営そのもののリスクとなる事を認識して、対応を決意する必要があります。
IT人材の育成と合わせて、全社的な仕組み作りが求められています。
人材育成を含めた総合的なリスクマネジメントを支援して行くのも、IT経営を実現するプロフェッショナルと言われている、私達ITコーディネータに課せられた重要な使命の1つです。
これで、経済産業省IT経営ポータルの、IT経営力指標と4つのステージの説明は、終了します。
次回のこのシーズからは、経済産業省IT経営ポータルの、IT経営協議会とIT経営憲章を説明して行きます。
この続きは、次回以降に、ITコーディネータ資格の変遷や、ITコーディネータのバイブルと言われるプロセスガイドラインの内容についても紹介して行きます。
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの話題として、ITコーディネータを中心に、ISACAが認定している資格の最新版が明らかになった段階で、順次お伝えして行きます。
皆さまからの、ご意見・ご感想をお待ちしております。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャー
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/