組織の情報セキュリティ管理規程を作ろう、って話です。
先にもお話しましたが、組織の情報セキュリティ規程というのは、組織が組織運営することに対して、情報セキュリティをちゃんとやろうか、そこそこにやろうか、組織の考え方、指針を示したものです。
もちろん、1から作ってもいいのですが、先に触れたIPAの中小企業向けガイドライン(中小企業の情報セキュリティ対策ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構)では、すぐにでも使えそうなツール群が揃っています。
ガイドラインの中、付録5に情報セキュリティ管理規程(サンプル)が付いています
(https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055794.docx)無料なのに、編集可能なWordファイルで提供してくれる太っ腹。これを使わない手はありません。
第1章は「組織的対策」。組織で情報セキュリティ管理体制をどう構築しようかというものです。簡単に言えば、「セキュリティ管理ができていない場合の責任者誰にしておきますか?」です。
ある会社で、社会影響の大きい情報漏洩があったとします。そんなときは、必要な対策をしつつ、いわゆるお詫び会見をやります。副社長での会見だったりすると、「なんで社長じゃないんだろう。社長は会見するのをいやがったんだろうか」と思うことがありますね。なので、情報セキュリティ管理体制の責任者は、一義的には社長でいいんです。ただ、通信事業者とか、サイバー攻撃があった場合に、どのようなサイバー攻撃であったかを解説するのに、社長の説明では心もとないこともあります。そんなときは、CISOを設置すればよいかと思います。
このガイドラインを説明すると聞かれるのが、「CISOにはどのような人材を雇えばいいのか」という質問です。
その回答は、一言で言えば、「責任と対策を取れる人」です。
規程サンプルの中で、以下の3職種は決めてください
- 情報セキュリティ責任者
- インシデント対応責任者
- 監査・点検/点検責任者
小さい組織では、上2つは兼務でもいいですが、監査・点検担当者は、上2つが適切かどうかのチェックをするので、別の人を充てることが多いです。