セキュリティ強化に向けた体制作り

セキュリティ強化に向けた
体制作り

セキュリティを担当者自身の力で進めることは困難です。1日目のセミナーで紹介した通り、関係者を巻き込み、役割を明確にしていくことが重要です。

Point①　役割と責任

情報セキュリティ組織体制で大切なことは形式ではなく、誰が「責任者」なのかを明確にして運用することです。以下の例だけでなく、各組織に合わせて責任者・担当者を任命することも必要です。

役割と責任の例

役割	主な活動
情報セキュリティ責任者	社内の情報セキュリティを統括する。セキュリティの推進、体制の構築（リソースの手配、予算の確保）をする。ビジネスの視点でセキュリティ対策や事故発生時の影響を検討する。組織の方針や規程について承認をする。または、承認者へ権限譲渡をする。
戦略責任者・担当	自社の事業計画に合わせたセキュリティ戦略を策定する。リスク分析や資産管理を通してセキュリティ対応策を考え、実行し、評価する。セキュリティ上の課題を発見し対処する。
教育責任者・担当	教育計画や目標・スケジュールを策定する。研修テキスト・教材・テストの選定を行う。講師として従業員への教育を行う。
監査責任者・担当	社内の情報セキュリティマネジメントや各種対策が効果的に実行できているかを監査する。できていない場合には指摘をし、是正措置のヒントを与える。
システム責任者・担当	セキュリティ機器類の導入計画や設計を行う。現在導入されている機器の有効性の評価を行う。システム周りの保守や監視を行う。

Point②　情報セキュリティ組織

少人数組織の場合、経営者が情報セキュリティ責任者を兼ねる場合もあります。また、防犯や防火などの安全管理責任者が兼ねるという方法もあります。
組織が100名を超える規模の場合には、決めた方針のとおりに情報セキュリティの取り組みが行われているかを確認するため、監査責任者を立てます。監査を外部の専門家に依頼することもできます。また、これらに合わせて、個人情報保護責任者やインシデント対応責任者などを配置する組織もあります。

セキュリティ規程　
ルールの作成・更新

セキュリティ関連規程と
指針・指標・マニュアル

セミナー8日目TOP

役割	主な活動
情報セキュリティ責任者	社内の情報セキュリティを統括する。セキュリティの推進、体制の構築（リソースの手配、予算の確保）をする。ビジネスの視点でセキュリティ対策や事故発生時の影響を検討する。組織の方針や規程について承認をする。または、承認者へ権限譲渡をする。
戦略責任者・担当	自社の事業計画に合わせたセキュリティ戦略を策定する。リスク分析や資産管理を通してセキュリティ対応策を考え、実行し、評価する。セキュリティ上の課題を発見し対処する。
教育責任者・担当	教育計画や目標・スケジュールを策定する。研修テキスト・教材・テストの選定を行う。講師として従業員への教育を行う。
監査責任者・担当	社内の情報セキュリティマネジメントや各種対策が効果的に実行できているかを監査する。できていない場合には指摘をし、是正措置のヒントを与える。
システム責任者・担当	セキュリティ機器類の導入計画や設計を行う。現在導入されている機器の有効性の評価を行う。システム周りの保守や監視を行う。

セキュリティ強化に向けた体制作り

Point① 役割と責任

Point② 情報セキュリティ組織

セキュリティ強化に向けた
体制作り

Point①　役割と責任

Point②　情報セキュリティ組織