評価には大きく分けて２つのレベルがある。コントロールレベルの評価とマネジメントレベルの評価である。コントロールレベルの評価というのは、情報セキュリティに関するそれぞれの施策の浸透状況や履行状況を評価するもので、例えば部署ごとに研修を受けた従業員の割合を測定し、受講率の悪い部署には研修の受講を促したり、セキュリティパッチの適用状況やインターネットの私的な利用をモニタリングし、ルール違反の従業員に注意を行ったりすることが該当する。

　一方、マネジメントレベルの評価は、個別の施策の実施状況の把握も含むが、むしろ企業全体のリスクを把握し是正するという観点での評価である。そこではそれぞれの施策の浸透を阻害する要因の抽出や、ルール自体が組織や業務に合っていないといった分析も含まれる。前者のコントロールレベルの評価がPDCAサイクルのDoを担当する部署によって行われるのに対し、後者はCheckを担当する部署が実施する。

　経営として必要なことは、これら２つのレベルの評価を担う部署を明確にすることである。つまり、セキュリティ対策を実施する部署には個別の対策の履行状況の評価まで含めて実施させることと問題があれば経営に報告すること、さらに実施部署の活動も含めてリスク管理の観点から取り組み状況を評価する部署を設けることである。

　この後者の部署は、内部監査部門が担うことが多く、その評価は情報セキュリティ監査として普及し始めている。図は前回と同じ弊社の調査で、情報セキュリティ監査の実施状況を示したものである。昨年度の調査では定期的、不定期合わせて24.7%であったが、今年度の調査では28.4%と上昇している。また「近い将来に実施を検討」も伸びており、情報セキュリティ監査が少しずつ普及している様子がうかがえる。


NRIセキュアテクノロジーズ（株）による「情報セキュリティ実態調査2005」より抜粋 従業員300人以上の企業(東証１部･２部上場および非上場)及び東証１部･２部上場の従業員300人未満の企業 2,967社を対象とした郵送による調査。有効回収率は15.1%。 実施期間は、2005年3月18日～4月1日で、今回で4回目。
企業における情報セキュリティ実態アンケート調査2005の詳細
（１/２）