情報セキュリティ(12)　管理体制の構築

前回書いた、SECURITY ACTION二つ星宣言は、これから情報セキュリティ対策に取り組むという、会社としての意思表示です。ここからは、本格的な取り組みについて書きます。まずは、管理体制の構築で、下記の2つの取り組みを行います。

①責任分担と連絡体制の整備

情報セキュリティ対策を組織として行うためには、誰が何を行うのか、明確にする必要があります。即ち、責任分担と連絡体制の整備が必要となるのです。

情報セキュリティ責任者を決め、部門責任者を通じて従業員への情報の伝達経路を確立し、また情報セキュリティ上の事故などが発生した場合は、情報セキュリティ責任者へ状況が迅速に報告されるような連絡体制を整備することが重要です。

例えば、下記のような体制です。

・情報セキュリティ責任者：情報セキュリティに関する責任者で、対策などの決定権限を持ちます。
・情報セキュリティ部門責任者：各部門での責任者です。
・システム管理者：システム面での対応を行います。
・教育責任者：従業員への教育を企画・実施します。
・点検責任者：適切に実施されているか点検します。

②緊急時対応体制の整備

事業や顧客などに大きな影響がある情報セキュリティ事故が発生した場合に、迅速に対応するための体制を予め決めておきます。対応を誤ったり遅れると、被害が拡大したり、回復できない損害が発生する可能性もあります。

例えば、下記のような体制です。

情報セキュリティ責任者：事故の影響を判断し、対応を決定する。
情報セキュリティ部門責任者：情報セキュリティ責任者の判断・意思決定に基づき適切な処置を行う。
従業員：事故や異常の内容を情報セキュリティ部門責任者に報告する。

これらのことは、とっさにはできません。日頃から、異常があれば、まずは情報セキュリティ部門責任者に報告するよう、訓練を行うことも有効です。