情報セキュリティ

 

世界中で、情報セキュリティに関する法律やルールがどんどん増えて、内容も厳しくなっています。こうした中で、企業や組織は、セキュリティリスクへの対応方法や、自分たちの対策が法律にきちんと合っているかどうかを、もっとしっかり考える必要があります。でも、本当にその準備はできているのでしょうか？

私たちは、このレポートに書かれている情報が、企業が自分たちのコンプライアンス（法令順守）とセキュリティの取り組みを見直すのに役立つと考えています。今回の調査で分かった、特に重要なポイントを紹介します。

ポイント1：

ほとんどの回答者は、「セキュリティ」と「コンプライアンス」はとても深く関係していると考えています。このことをふまえて、Adviseraは2019年6月12日から18日まで「コンプライアンスと情報セキュリティはどう関係しているか？」というテーマで、605人を対象に調査を行いました。回答者は、世界中のいろいろな業界で働いている人たちで、多くは中小企業のITやセキュリティの担当者でした。調査は匿名で行われました。

この調査の目的は、「セキュリティ」と「コンプライアンス」の関係を調べて、次のようなことを明らかにすることでした。

ポイント2：

「コンプライアンス」は、監査担当者や外部のチェックを受けるときに、それに合格することがとても大切ですが、「セキュリティ」はその点では少し違うようです。つまり、コンプライアンスは「見せること」が重視されるのに対し、セキュリティは「守ること」が中心だと言えます。

ポイント3：

回答者たちは、セキュリティの問題が起きる主な原因は、技術的なミスよりも「人」や「組織の仕組み」にあると考えています。つまり、どんなに技術で守っていても、人の行動や会社の体制がしっかりしていないと、リスクはなくならないということです。

監査

 

監査委員会レビュープロセス  

概要  

文書の役割：監査委員会のガバナンス、監視、効果を向上させるための指針を提供する。  

焦点分野：財務報告、リスク管理、ESG、株主とのコミュニケーション。  

セクションA：優先事項  

評価基準：  

3：許容範囲  

3未満：注意が必要  

3超：強みの領域  

極端な調査：  

回答者の観察と重要なポイントを通じて極端な事例を理解する。  

平均とバランスのスコアの差が1を超える場合は、調査が必要な不均衡を示唆する。  

セクションB：責任  

「いいえ」回答：  

これらと提供されたコメントに特に注意を払う。  

満足のいく説明があれば、その項目は終了する。  

満足のいかない説明は委員会に報告する必要がある。  

不確実性の取り扱い：  

不明な場合は、委員会に問題を報告し、さらなる検討を求める。  

調査結果のまとめ  

結果の報告：  

調査結果をまとめて委員会全体に報告する。  

グルーピングと明確さ：  

関連する調査結果を適切にグループ化する。  

強みも透明性と明確さのために報告するべきである。  

アクセス可能性：  

詳細な理解が必要な場合、すべての回答は利用可能でなければならない。  

次のステップ  

委員会による決定：  

ニーズの評価に基づいて。  

提案の提示：  

調査結果をまとめる個人は、効率的な分析のための行動を提案することができる。  

サブ委員会の役割：  

行動計画を策定するためにサブ委員会が任命される場合がある。  

これらのノートは、監査委員会のレビュープロセスの構造化された明確な理解を確保し、主要な責任と行動を強調する。

持続可能性

 

地方自治体向け企業の事業継続計画の青写真  

会議議題の例  

出席者と欠席者  

必要な出席者の確認  

欠席者の記録  

進行中の事項  

緊急の決定/行動が必要  

承認  

前回の議事録/行動の承認  

アクションログのレビュー  

前回の会議からの行動  

状況報告  

戦術グループからの更新  

部門の更新  

重要な活動への影響  

外部の更新  

外部要因の適用性  

戦略の策定/レビュー  

コミュニケーション戦略  

内部、選出されたメンバー、外部コミュニケーション  

その他の緊急業務  

行動の要約  

会議中に割り当てられた行動  

次回の会議  

日付と時間  

注: すべての重要な決定が議事録に記録され、行動がアクションログにリストされることを確認してください。議事録とログを戦術グループと戦略グループの両方に配布してください。  

セクション9: アクションログの青写真  

目的: インシデント対応活動を追跡し、所有者による行動の完了を確保する。調整会議での決定を記録する。  

例の構造:  

インシデント:  

会議日:  

最終更新:  

会議時間:  

ログ担当者:  

行動/問題:  

所有者  

更新  

ステータス  

セクション10: 統合状況報告  

目的: インシデント対応中の情報を管理し、意思決定のための正確なデータを確保する。  

報告の種類:  

サービスレベル状況報告  

サービスレベルの影響を定義  

問題を戦術グループにエスカレーション  

統合状況報告  

戦術グループがすべてのサービスレベルの応答を集約  

戦略的関与のためのエスカレーションをレビューおよび分析  

例のフォーマット:  

インシデント:  

時間:  

日付:  

状況（例: ランサムウェア）  

これらの構造化されたノートは、地方自治体における事業継続を維持するためのインシデント対応中の会議、アクションログ、および状況報告を管理するための包括的なガイドを提供します。

品質マネジメントシステム 改訂

 ISO9001:2026が近づいてきた。 準備はできているだろうか？ 世界をリードする品質マネジメント規格の新たな進化が形作られつつある。 ISO 9001:2026は単純な更新ではありません。新たな優先事項、責任の増大、そして回復力、持続可能性、イノベーションへの新たな焦点が導入されます。 これらの変化を今理解することは、競争力を維持するために不可欠です。 ISO 9001:2026の第2次公式草案(CD2)では、大きな構造的変更が導入されます： - リスクと機会を明確に分離し、個別のマネジメント計画を要求。 - 組織の状況分析への気候変動の導入の義務化。 - 品質文化と企業倫理の促進を要求する、リーダーシップの役割の拡大。 - 重要な定義が拡大され、解釈の複雑さが増す。 - ブロックチェーンや機械学習などの新たな技術の認識。 - サプライヤーやアウトソーシングプロセスの管理における内部説明責任の強化。 もしあなたの組織がまだ2015年の論理で物事を考えているのであれば、トラブルに巻き込まれる危険性がある。 今すぐ始めるべき行動 - リスク管理モデルと機会管理モデルを分けて考え直す。 - 気候的・環境的要因を含むようにコンテキスト分析を更新する。 - 品質文化と倫理を指導者の責任に組み込む。 - 品質マニュアル、業務手順書、支援文書を見直し、更新する。 - より厳格で構造化された監査システムのために社内チームを準備する。 ISO 9001:2026の正式な発行は2026年9月に予定されています。 しかし、今日準備することが、明日のリーダーとなるのです。

リスクマネジメント

 政府におけるリスク管理  

概要  

この文書は、政府のボードがリスクを効果的に管理するためのフレームワークを提供し、ポジティブなリスク文化、明確に定義された役割と責任、効果的なコミュニケーション戦略の重要性を強調しています。  

主要要素と活動  

ポジティブなリスク管理のための基盤  

ポジティブなリスク行動と文化の創造：  

組織のリスク文化とスタッフの態度を評価する。  

リスク管理戦略とポリシーが全スタッフにアクセス可能であることを確認する。  

文書においてポジティブなリスク管理文化の重要性を強調する。  

リスク管理に対する経営陣のコミットメントを確保し、広める。  

プロセスを通じてポジティブなリスク管理行動を奨励する。  

役割と責任の確立  

責任の明確化：  

リスク管理の責任者を明確に定義する。  

ボード、監査およびリスク保証委員会、リスク実務者の役割を区別する。  

リスク情報のコミュニケーション  

コミュニケーションの質と明確さの確保：  

意思決定を支えるためにリスク情報の質を維持する。  

タイムリーなリスクエスカレーションのための上向き報告メカニズムを実施する。  

エスカレーションおよびデエスカレーションのルートを明確かつ使いやすくする。  

リスクエスカレーション後の必要なフィードバックメカニズムを確立する。  

リスク能力とトレーニングの構築  

ビジネスプロセスとの統合：  

戦略的計画、ビジネス計画、パフォーマンス報告、ポリシー開発にリスク考慮を統合する。  

リスク管理機能内でのコラボレーションを促進する。  

結論  

概説された要素は、組織がリスク管理の実践を改善し、構造的かつ効率的な方法でリスクを管理するための積極的かつポジティブなアプローチを育むためのガイドラインとして機能します。

————-
リスクを効果的に管理する価値を信じています。それはビジネスの意思決定を導き、貴重なリソースのより効果的な利用を可能にし、戦略的およびビジネス計画を強化し、緊急時の計画を強化します。

これらのすべては、支援的なリスク文化なしには実現できません。オープンさを奨励し、現実的な方法で実際のビジネス問題を議論するポジティブなリスク文化は、リスクを効果的に管理するために絶対に不可欠です。取締役会から全員が、そのリスク文化を確立し維持するための明確な役割を果たす必要があります。

サイバーセキュリティ

 

この文書は、ENISAがNIS協力グループおよび欧州委員会と協力して採択した、連合におけるサイバーセキュリティの状況に関する最初の報告書を示しています。報告書は、EUレベルの政策立案者に対して、サイバーセキュリティの状況と能力に関する証拠に基づく概要を提供し、特定された欠点に対処し、連合全体のサイバーセキュリティのレベルを向上させるための政策提言を行うことを目的としています。この報告書の作成は、NIS2の移行期限の前に行われています。そのため、ここに示されているデータの一部は、2024年10月17日の移行期限以降のサイバーセキュリティ能力を完全には反映していない可能性があります。それでも、この報告書には短期および中期に変わる可能性の低いデータポイントが含まれており、NIS2がEU加盟国によって完全に実施される直前の連合におけるサイバーセキュリティの状況のスナップショットとして機能します。最近の過去は、NIS2、CRA、CSOA、EUDIFを含むがこれに限定されない横断的な政策イニシアティブによって特徴づけられ、EUのサイバーセキュリティ政策フレームワークを改善し、ターゲットを絞った改善を可能にするために必要なすべての構造とプロセスを確立しています。

サイバーセキュリティは単なる「良いIT」ではありません。組織のリスク管理や意思決定に統合されるべきであり、あなたの組織のすべてのビジネスユニットは、自らのサイバーセキュリティに関する義務と責任を明確に理解している必要があります。適切に行われれば、サイバーセキュリティはあなたの組織のデジタル活動を活性化し、ビジネスに価値を加えることができます。また、これはチームスポーツでもあり、取締役として、全員を力づけることが重要です。

リスクマネジメント

 

このガイドは、金融機関以外の組織が重要なビジネス上の意思決定を支援するためにリスクレジスターを開発・活用するのを支援するために作成されています。このガイドの前提は、リスクレジスターは業界で一般的に考えられているよりも使用頻度を低く抑えるべきであり、リスクレジスターのフォーマットはベストプラクティスと考えられているものとは大きく異なるべきであるということです。

この実践ガイドで提示されているテンプレートとアイデアを理解するために、まずリスクを定義し、リスク(X)とリスクの関数(f(X))の違いを説明し、そして現代のリスクレジスターのほとんどにおける構築方法における根本的な設計上の欠陥を明らかにします。このガイドの最後には、世界中の成功企業が使用している、これまでに見たことのないような実用的なテンプレートが紹介されています。