まず、準備のための頭の整理として、ポリシーと基準、手順のちがいを、生成AIくんに、効いてみた。
- ポリシーと基準、そして手順は、情報管理やセキュリティにおいて異なる役割を果たします。
-
ポリシー (Policy):
- 定義: ポリシーは、組織が策定する情報セキュリティ対策の方針および行動方針です。
- 目的: どのような情報資産を自社で扱い、脅威から保護するのかを基本的に記載します。
- 具体的内容: 運用規定や運用体制、基本対策なども明記されます。
- メリット: 従業員の意識向上や取引先からの信頼を得ることができます。
-
基準 (Guideline):
- 定義: 基準は、具体的な規則や実践方法を示すものです。
- 目的: 基本方針を基に情報セキュリティ対策を実践する際の具体的な規則を記述します。
- 具体的内容: 情報資産の管理方法や物理的・人的・技術的な対策などが詳細に記されます。
-
手順 (Procedure):
- 定義: 手順は、情報セキュリティ対策を行う際の具体的なステップを指示するものです。
- 目的: 誰がどのような情報を扱うときの手順を明確にします。
- ポリシーは方針を示し、基準は具体的な規則を定め、手順は実際の行動を指示します。これらを適切に組み合わせて、情報セキュリティを確保するための体制を整えましょう。
うれしいですね。生成AIくんは、ありがたいですね。最近はブログでなにか考えをまとめようとすると、生成AIくんが、ネタも提供してくれるし、挿絵も書いてくれる。
こうなると人の役割ってなんだろ、って思うと、それを多くの組織、多くの現場に紐づけること。場の流れを作りながら、現場で遵守できるガバナンス自体の肝を作って、広めていくことかと思うんですよね。
では、最初の問い合わせ・・・
組織が立ち上がってから3年目のベンチャー企業です。
社員数だけがどんどん膨らんで、なかなかガバナンスが追いつかない。情報セキュリティ委員会はあって、事務局にされています。委員会は定期的に実施しているし、れっきとしたCISOもいて、きちんと機能している。でもセキュリティ委員会の事務局からすると、この委員会のやり方でいいのかどうか迷っているとのお問い合わせです。
ではでは、再度、生成AIくんに、情報セキュリティ委員会で最低限やるべきことを効いてみました
- 組織体制と役割:
- 委員会の構成員を選定し、役割と責任を明確にします。
- 委員会のリーダーシップを確立し、情報セキュリティの方針と目標を策定します。
- 情報セキュリティポリシーと戦略:
- 情報セキュリティポリシーを策定し、組織全体で共有します。
- 戦略的なアプローチを検討し、情報セキュリティの目的と方針を達成するための戦略を策定します。
- 情報セキュリティの知識と能力:
- 委員会の構成員は、情報セキュリティに関する基本的な知識とスキルを持つべきです。
- 情報セキュリティ対策の監視と評価:
- - 情報セキュリティ対策の実施状況を監視し、評価します。
- 情報セキュリティ教育と意識向上:
- 従業員に対して情報セキュリティに関する教育とトレーニングを提供します。
- 情報セキュリティ意識向上の活動を実施します。
これらの要件を満たすことで、情報セキュリティ委員会は組織の情報資産を適切に保護し、セキュリティリスクを最小限に抑える役割を果たします。
ありがたいねぇ。生成AI。きれいな日本語に感謝。
まあ、端的に言えば、定期的の会議体を決めたメンバーで招集し、情報セキュリティに関する情報を集めておいて、必要に応じて審議して意思決定をして、結果を議事録に残しておいてください。
それから、有事と平時で、委員会の開催もメンバーの温度感も違います。何事もないときはぼんやりとしているし、派遣社員にUSBを持ち出されて、「内部漏洩はありません」なんて間違った回答をしたあとのテンションは、天と地の違いがあります。有事にきちんと意思決定を効かせることができように、普段から流れをと役割の責任を明確にしておきましょう。
