ホーム > 情報取扱編 > いまさら聞けない対策のポイント > 「情報セキュリティ体制」をたずねられたら
情報セキュリティの基礎
  • なぜ情報セキュリティ対策が必要なのか~
    • 企業経営と情報資産
    • 情報セキュリティ対策の基礎
  • メールにおける情報セキュリティ対策
    • メールの使用に際してのセキュリティ
    • メールに伴うセキュリティリスク
    • 添付ファイル
    • 迷惑メール
    • 標的型攻撃メール
  • コンピュータを使う上での情報セキュリティ対策
    • マルウェアの脅威とその対策
    • ファイル共有ソフト
    • コンピュータの管理
    • 無線LANとモバイルデバイス
    • 新しいインターネットサービス
  • オフィスと日常業務の情報セキュリティ対策
    • オフィスからの情報漏えい対策
    • ソーシャルエンジニアリング
    • コンピュータ犯罪対策
    • 組織としての情報セキュリティへの取組み
  • 参考資料
    • 情報セキュリティ対策に役立つ情報集

情報取り扱い編
いまさら聞けない対策ポイント
  • 「情報セキュテリィ体制」をたずねられたら
  • 「書類・データの取り扱い方法」を
たずねられたら
  • お役立ちツール
  • 情報セキュリティ対策セルフチェック
  • 情報セキュリティ事故事例集
  • 情報セキュリティ様式集
「情報セキュリティ体制」をたずねられたら
情報セキュリティ体制
お客さまからお預かりした個人情報や企業にとっての重要情報の管理を行うため、組織内に情報セキュリティに対する役割を割り当てることが望ましいとされています。

取引先から、「御社の情報セキュリティ体制はどうなっているか」と尋ねられるのは、「役割や責任を定め、情報セキュリティの管理を行っているか」を、問われていることになります。
情報セキュリティ組織
図1のように、経営者を情報セキュリティ組織のトップに置き、その下に情報セキュリティ管理責任者を設置するのが、一般的な組織体です。

情報セキュリティ管理責任者は情報資産に対する管理責任者で、対策の指示や社内の指導、緊急時の対応、事故後の指示などが主な任務です。

少人数の組織の場合、経営者が情報セキュリティ管理責任者を兼ねても問題ありません。 また、防犯や防火などの安全管理責任者と兼ねるのもよいでしょう。

大規模組織の場合は、経営者が決めた方針のとおりに情報セキュリティ対策が行われているかを確認するため、内部監査責任者を立てます。内部監査を外部の専門家に依頼することもできます。

情報セキュリティ管理責任者と情報セキュリティ内部監査責任者は、経営者からの任命となります。


図1は、情報セキュリティ組織体制の一般的な例ですが、大切なのは形式ではなく、 誰が「責任者」なのかを明確にして運用することです。

図1
役割と責任
  • 1. 経営者
    経営方針に合わせた情報セキュリティ基本方針を策定します。
    対策の検討については、担当者任せにせず、積極的に関わることが大切です。
    情報セキュリティ管理責任者から、社内の対策の状況や事故の報告を受けた場合には、 経営者自ら、改善の指示を出します。
  • 2. 情報セキュリティ管理責任者(CISO)
    情報セキュリティに関する責任者です。対策の実施、社内の指導、事故や緊急時への対応指示を出します。 必要に応じて、社員の招集や経営者への報告などを行います。
  • 3. 内部監査責任者
    経営者の方針どおり、社内の運用がされているか客観的に確認を行います。 自らの仕事を確認することは「点検」といいます。
  • 4. 情報セキュリティ委員会
    複数の部門の代表者により構成されます。 自部門の課題の提出や、部門指導と管理、相互理解が求められます。
  • 5. 従業者
    組織が決めた情報セキュリティルールを順守し、情報セキュリティ事故を起さぬよう、日々の業務を行います。
▲ページトップへ