企業の情報セキュリティ体制を円滑に機能させるためには、各役職の決定が必須です。
また、情報資産の管理についても、適切な方法で行わなければ、企業の情報セキュリティレベルを上げることはできません。
ここからは、情報セキュリティ関連役職の種類、情報資産の管理方法を併せて解説したいと思います。
情報セキュリティ関連役職の種類
企業によっては、情報セキュリティ関連の役職を明確に決定していない場合もあります。
ただ、役職とそれぞれの役割・責任を事前に決定していなければ、情報セキュリティ事故発生時の対応は遅れますし、原因究明も難航してしまいます。
そのため、事業規模などは関係なく、企業は必ず以下の役職を明確にし、各担当者に役割と責任について周知させましょう。
・情報セキュリティ責任者
情報セキュリティに関する責任者です。
情報セキュリティ対策などの決定権限を持つとともに、全責任を負う役職です。
・情報セキュリティ部門責任者
各部門における情報セキュリティの運用管理責任者です。
各部門の情報セキュリティ対策の実施などの責任を負います。
・情報システム管理者
情報セキュリティ対策のためのシステム管理を行う役職です。
・教育責任者
情報セキュリティ対策を推進するために、従業員への教育を企画・実施する役職です。
・インシデント対応責任者
情報セキュリティ事故の影響を判断し、対応について意思決定する役職です。
・監査点検責任者
情報セキュリティ対策が適切に実施されているか、情報セキュリティ関連規定を基準として検証・評価し、アドバイスを行う役職です。
・特定個人情報事務取扱責任者
企業が有する特定個人情報の情報セキュリティに関する責任者です。
・特定個人情報事務取扱担当者
企業が有する特定個人情報を取り扱う事務に従事する従業員です。
・個人情報苦情対応責任者
企業に寄せられた個人情報に関するクレームの対応責任者です。
中小企業などでは、これらの役割・責任をすべて情報セキュリティ責任者に押し付けているところも見られます。
ただ、それでは責任者の負担が大きすぎる上に、情報セキュリティ体制をうまく機能させることはできません。
企業における情報資産の管理方法
企業が適切に情報資産を管理するには、主に以下の作業を行う必要があります。
・機密性の評価
・機密性の表示
・管理責任者の決定
・利用者の決定
・社外持ち出しに関する規定の決定
それぞれ具体的に解説しましょう。
機密性の評価
企業の情報資産は、3段階で評価付けをし、機密性の高いものから優先的に管理体制を強化しなければいけません。
評価の詳細は以下の通りです。
機密性レベル | 詳細 |
機密性2:極秘 | ・法律で安全管理が義務付けられている ・守秘義務の対象として指定されている ・限定提供データとして指定されている ・営業秘密として指定されている ・漏えいすると取引先や顧客に大きな影響がある |
機密性1:社外秘 | 漏えいすると事業に大きな影響がある |
機密性0:公開 | 漏えいしても事業にほとんど影響はない |
機密性の表示
決定した情報資産の機密性は、以下の方法で表示します。
・電子データ:保存先サーバのフォルダ名に表示
・紙媒体:保管先のキャビネット、ファイル、バインダーに表示
こうすることで、当該情報資産の機密性が高いのか低いのかについて、すぐに判断できるようになります。
管理責任者の決定
情報資産の取り扱いに関する情報セキュリティの運用管理責任者は、当該情報資産を利用する部門長とします。
つまり、先ほど解説した“情報セキュリティ部門責任者”です。
利用者の決定
企業の情報資産における利用者の範囲は、“情報資産管理台帳”の利用者範囲欄に示された部門に従事する従業員とします。
社外持ち出しに関する規定の決定
情報資産を社外に持ち出す場合は、以下の実施を徹底しましょう。
・社外秘の場合は所属部門長の許可を得る
・極秘の場合は代表取締役もしくは情報セキュリティ責任者の許可を得る
・ノートパソコンのハードディスクに保存して持ち出す場合は、ハードディスク、フォルダ、データを暗号化する
・スマートフォン、タブレットに保存して持ち出す場合は、セキュリティロックを設定する
・リムーバブルディスク、HDD等の電子媒体に保存して持ち出す場合は、不要データをすべて完全消去専用ツールで消去し、持ち出すデータを暗号化する
・USBメモリ等の小型電子媒体は、大きなタグを付けたり、ストラップで身体やカバンに固定したり、落としてもすぐにわかるように鈴を付けたりする
・屋外でネットワークに接続して極秘または社外秘の情報資産を送受信する場合は暗号化する。
・携行中は常に監視可能な距離を保つ
まとめ
ここまで、情報セキュリティ関連役職の種類と、情報資産の管理方法について解説してきました。
これらの知識や対策は企業にとって必ず必要なものであるため、現時点での自社における体制と照らし合わせ、問題点を洗い出しましょう。
「時間がなかった」「人手が足りなかった」という理由で情報セキュリティ体制が脆弱になり、事故が発生しても、企業は言い訳できません。