IT GRCツールの導入ケース、ポリシー管理からインシデント管理まで
2016年6月22日(水)榎本 司(NANAROQ 執行役員兼COO) 森本 親治(NANAROQ GRCエグゼクティブディレクター)
前回は、e GRC/IT GRCのソリューションの分類とツールの概要を説明しました。今回は分類の中のいくつかの分野について、GRCツールの導入ケースを紹介します。いずれもシンプルなケースですが、仮にツールを使わずにそれぞれを管理しようとすると、大きな難題に直面することが理解できるはずです。
GRCツールの導入例として取り上げるのは4つ。(1)法令や規則をどう整理して自社のポリシーとするのかというポリシー管理、(2)リスクを洗い出し、顕在化しないように管理する、あるいは顕在化した場合に対応するリスク管理、(3)リスクへの対策が正しく、継続的に運用されているかをモニタリングし、PDCAサイクルとして完結させるコンプライアンス管理(PCI DSS)、そして(4)CSIRT組織における情報資産・インシデント管理(CSIRT)です。
ケース1:ポリシー管理
ポリシー管理は、国内外の様々な外部規制や企業の中で定められる方針、規程、規則、マニュアルの体系を整理し、組織や業務の観点から関連付けて統合管理するものです。世の中の様々な法令やガイドラインの要求事項を集約・整理したうえで、自社のポリシーを策定する必要があります。どうやって様々な法令やガイドラインを調べればいいのでしょうか?
A社はシステムの運用ルールを全面刷新するにあたり、「UCF:Unified Compliance Framework」をベースに自社に必要な要求事項を洗い出し、抜け漏れのない情報セキュリティポリシーを策定しました(図1)。UCFとは、世界中の法令・レギュレーションとIT統制をマップしたフレームワークです。重複がある要求事項を整理しているので重複や漏れのないポリシー作成に役立ちます。GRCツールとして、UCFをA社は活用したわけです。
拡大画像表示
仮に、これを担当者が自ら調べてリストアップすると、「今はこうしているから」といった本質論ではないところからの発想となり、不要な項目が挙げられたり、必要な項目が抜け落ちたりしてしまうリスクがあります。UCFを活用することにより、世の中のベストプラクティスから必要な事項を洗い出すことができ、ポリシー品質の向上に結び付きます。
会員登録(無料)が必要です
- 1
- 2
- 3
- 次へ >