インディケーション評価とは
格付手法の一部を利用し、アンケート方式の調査と現場調査により企業や組織の情報セキュリティ・レベルを評価するサービスです。
「情報セキュリティ格付」がアナリストによる厳密な調査に基づき17段階の符号を付与するのに対し、「インディケーション評価」は外部リサーチャーが5段階のレベル評価をします。
また、「情報セキュリティ格付」は符号を公表し、セキュリティ・レベルの高さを対外的にアピールできるのに対し、「インディケーション評価」は対外公表を目的としたものではなく、あくまで社内や企業グループ内部でのレベルの把握、情報共有を目的としています。
インディケーション評価の特徴
インディケーション評価のメリットとして次の5点を上げることができます。
インディケーション評価の対象範囲
企業全体より、事業部などの組織単位、工場・研究所などの拠点単位で評価を行い、各々の組織間・拠点間で比較することをお薦めします。
インディケーション評価の進め方
情報セキュリティのレベルの調査は次の2つの部分からなります。
1. アンケート・チェックリストのご回答
アンケート・チェックリストにご回答頂きます。
ご回答頂く、アンケートおよびチェックリストは、次のとおりです。
(1)統制側アンケート
全社の統制管理者および評価対象部門の統制管理者に対してアンケートを実施し、ルールと運用実態(PDCAサイクルがまわっているかどうか)を調べ、マネジメントの成熟度を測ります。
(2)統制側チェックリスト
アンケートと同じ統制管理者を対象に、管理策の内容がわかる選択肢を用意し、その中から回答を選んでもらうやり方で対策の強度を調べます。
(3)システム管理者チェックリスト
情報システム管理者を対象に、技術管理策の強度をチェックします。
2. 現地調査による回答内容の確認
上記の(1)~(3)の回答を踏まえ、回答結果に「矛盾点がないかどうか」などを確認する目的で現地調査(インタビュー、現場状況の確認)を行います。
以上の調査結果を分析・数値化し、評価レベルを判定します。