ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ 経営者の視点

なぜ、経営者にとってサイバーセキュリティの
マネジメントは難しいのか

デロイト トーマツ サイバーセキュリティ先端研究所
【第1回】 2017年2月7日
著者・コラム紹介バックナンバー
previous page
3
nextpage

(1) 保護対象の決定
サイバーセキュリティマネジメントの対象を決定することです。いわゆる情報資産がその対象となります。情報資産は、情報そのもの及び、それを利用するためのソフトウェア、ハードウェア、ネットワーク、施設・設備、人、手続きが含まれます。さらに、会社やサービスのレピュテ-ションも含まれます。

(2) 管理目標の決定
どの程度の「リスクを許容するか」を決定することです。セキュリティ投資をどの程度すべきかにも影響していきます。これは情報システム担当者が決めることではなく、経営者の判断事項となります。

(3) リスクアセスメントの実施
どのような資産についてどの程度のリスクがあるかを評価することです。リスクは一般的には次の算式により計算されます。

リスク=損失の程度×損害の発生可能性 ・算式1

(4) 対策の選定
「対策の決定」は、管理目標とリスクアセスメントの決定から導かれる場合以外にもビジネス戦略から導き出される場合や法令、業界等のガイドラインから導かれるケースがあります。対策には大きくわけると、

・リスクの回避
・リスクの保有
・リスクの低減
・リスクの移転

があります。図表4にリスク対策の選定についての基本的な考え方をまとめておきます。

previous page
3
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

デロイト トーマツ サイバーセキュリティ先端研究所

ICT(情報通信技術)の急速な発展は、企業や組織の活動にこれまでにはなかった新しいリスクを生み出しています。日々巧妙化するサイバー攻撃は企業や組織を脅かす存在となり、重要な経営課題の1つとなっています。 デロイト トーマツ サイバーセキュリティ先端研究所は、デロイト トーマツ グループに所属するサイバーセキュリティの専門家を集結させることで、サイバー攻撃に対抗するための基礎研究等を行っています。 https://www.deloitte.com/jp/dt-arlcs

サイバーセキュリティ 経営者の視点

経営者は情報セキュリティに対するリスクマネジメントや投資についてどう考え、取り組むべきか。さまざまな視点でデロイト トーマツのセキュリティエキスパートがリレー形式で解説する。

「サイバーセキュリティ 経営者の視点」

⇒バックナンバー一覧