本サイトは2008年度から2013年度まで経済産業省の委託事業として実施した「中小企業情報セキュリティ対策促進事業(指導者育成セミナー)」のサイトです。本事業は2013年度で終了いたしました。
ここに書かれている内容は2013年時点から更新をしていないので、御利用の際には古いコンテンツであることをご承知おきの上御利用下さい。
「情報セキュリティ体制」をたずねられたら
情報セキュリティ体制
お客さまからお預かりした個人情報や企業にとっての重要情報の管理を行うため、組織内に情報セキュリティに対する役割を割り当てることが望ましいとされています。
取引先から、「御社の情報セキュリティ体制はどうなっているか」と尋ねられるのは、「役割や責任を定め、情報セキュリティの管理を行っているか」を、問われていることになります。
取引先から、「御社の情報セキュリティ体制はどうなっているか」と尋ねられるのは、「役割や責任を定め、情報セキュリティの管理を行っているか」を、問われていることになります。
情報セキュリティ組織
図1のように、経営者を情報セキュリティ組織のトップに置き、その下に情報セキュリティ管理責任者を設置するのが、一般的な組織体です。
情報セキュリティ管理責任者は情報資産に対する管理責任者で、対策の指示や社内の指導、緊急時の対応、事故後の指示などが主な任務です。
少人数の組織の場合、経営者が情報セキュリティ管理責任者を兼ねても問題ありません。 また、防犯や防火などの安全管理責任者と兼ねるのもよいでしょう。
大規模組織の場合は、経営者が決めた方針のとおりに情報セキュリティ対策が行われているかを確認するため、内部監査責任者を立てます。内部監査を外部の専門家に依頼することもできます。
情報セキュリティ管理責任者と情報セキュリティ内部監査責任者は、経営者からの任命となります。
図1は、情報セキュリティ組織体制の一般的な例ですが、大切なのは形式ではなく、 誰が「責任者」なのかを明確にして運用することです。
情報セキュリティ管理責任者は情報資産に対する管理責任者で、対策の指示や社内の指導、緊急時の対応、事故後の指示などが主な任務です。
少人数の組織の場合、経営者が情報セキュリティ管理責任者を兼ねても問題ありません。 また、防犯や防火などの安全管理責任者と兼ねるのもよいでしょう。
大規模組織の場合は、経営者が決めた方針のとおりに情報セキュリティ対策が行われているかを確認するため、内部監査責任者を立てます。内部監査を外部の専門家に依頼することもできます。
情報セキュリティ管理責任者と情報セキュリティ内部監査責任者は、経営者からの任命となります。
図1は、情報セキュリティ組織体制の一般的な例ですが、大切なのは形式ではなく、 誰が「責任者」なのかを明確にして運用することです。
役割と責任
-
1. 経営者経営方針に合わせた情報セキュリティ基本方針を策定します。
対策の検討については、担当者任せにせず、積極的に関わることが大切です。
情報セキュリティ管理責任者から、社内の対策の状況や事故の報告を受けた場合には、 経営者自ら、改善の指示を出します。 - 2. 情報セキュリティ管理責任者(CISO)情報セキュリティに関する責任者です。対策の実施、社内の指導、事故や緊急時への対応指示を出します。 必要に応じて、社員の招集や経営者への報告などを行います。
- 3. 内部監査責任者経営者の方針どおり、社内の運用がされているか客観的に確認を行います。 自らの仕事を確認することは「点検」といいます。
- 4. 情報セキュリティ委員会複数の部門の代表者により構成されます。 自部門の課題の提出や、部門指導と管理、相互理解が求められます。
- 5. 従業者組織が決めた情報セキュリティルールを順守し、情報セキュリティ事故を起さぬよう、日々の業務を行います。
関連ページ