このページでは、前回の情報セキュリティ対応方針の定め方に引き続き、情報セキュリティに関する予算・人員の確保についてテンプレート付きで解説いたします。
このシリーズは、IPAの「中小企業の情報セキュリティ対策ガイドライン」に基づき、中小企業が実施すべきセキュリティ対策について、順番に解説しています。
(目次)
テンプレート
まずは、人員の確保から!
まずは、人員を確保するところから始めましょう。
具体的なセキュリティ対策がすでに決まっている場合は、その対策予算も確保する必要がありますが、まだ決まっていない場合は、人員とその人件費を確保すれば大丈夫です。
体制のイメージ
人員を集めるにあたって、どんな役割が必要になるのかをイメージできるように体制図を作成しました。体制図を作っておくと、今後の説明にも活用できますので、セキュリティ対策を進めやすくなりますよ。
テンプレートを自身の会社に併せて、カスタマイズして考えてみてください。
対策指示は「最高情報セキュリティ責任者」
最高情報セキュリティ責任者は、その名の通り、会社内の情報セキュリティに関する最高責任者です。CISOとも呼ばれます。(Chief Information Security Officerの略)
各部門に対して、対策指示を行いますので、役員クラスから選出したほうが望ましいです。
何の対策をするかの立案は「セキュリティ対策部門」
CISOと各部門の間に、セキュリティ対策部門を設置します。
セキュリティ対策部門は、会社内にどんなセキュリティ対策が必要なのかを立案し、社内に対するセキュリティ対策の推進(会社内への説明など旗振り役)を行います。
また、CISOには対策の指示をしてもらいますが、どんな指示を出すのが適切なのかCISOの補佐も担います。
セキュリティ部門は、できるだけ専門組織のほうが望ましいですが、IT部門と兼任の場合もあります。兼任の場合でも、セキュリティとITの業務の分担はしっかり行いましょう。(効率性を重視して、セキュリティが後回しになったりしない。 等々)
部門内は、全体責任者(部・課長クラス)と各施策担当者で構成され、施策ごとに担当者を設置しましょう。施策内容はパソコン対策・教育・監査・点検など多岐にわたり、会社内の状況や優先順位付けによって変わってきます。施策内容は別ページで解説します。
対策の実行は「各部門」
具体的な対策実行は、各部門にて行います。
セキュリティ対策部門だけで、すべて対策実行すると勘違いされることがよくありますが、セキュリティ対策部門だけでは、うまくいきません。
一般利用者にセキュリティを意識してもらう教育会に参加してもらったり、パソコン内にソフトをインストールしてもらったり、何かの追加設定をしてもらったり、一般利用者が作業をするケースが多々あります。
そういう場合は、各部門内の上司から指示を行わないと、円滑に作業が行われませんので、各部門内には、セキュリティに関する部門責任者(部長クラス)と一般利用者をサポートするセキュリティ担当者を設置し、確実にセキュリティ対策を実行しましょう。
体制表を作ってみる!
テンプレート内に体制表のサンプルを作成しました。これをもとにご自身の会社の体制表を作ってみましょう。
必要なスキルセット
セキュリティの対策推進担当者
セキュリティの対策推進担当者は、社内にどのような技術対策が必要かを検討する役割になりますので、ITに関するスキル・知識は持っている必要があります。
もし、社内にいない場合は、派遣社員や外部ベンダーの活用も考えましょう。
各部門のセキュリティ担当者
各部門のセキュリティ担当者は、部門内利用者の操作サポートを行います。
パソコン操作に慣れた人を選任しましょう。
もし、各部門が担当者設置に応じてくれない場合
セキュリティ推進部署の方が各部門にセキュリティ責任者や担当者の設置を依頼しても、なかなか応じてくれない場合があります。
その場合は、会社の指示として設置するよう社長や担当役員などから、設置を依頼してください。
セキュリティは、全社で取り組むべき仕事です。全社一丸となってセキュリティを実行することを意識してもらいましょう。
