企業が情報セキュリティ管理を行う場合、単純に責任者を決定するだけでは、適切な管理ができません。
重要なのは、細かい役割を持った役職者を決定し、それぞれを機能させることです。
ここからは、企業における情報セキュリティ管理に必要な人員配置と、各役職の役割について解説したいと思います。
企業が情報セキュリティ管理を行うための人員配置とは?
特に人員が不足しがちな中小企業においては、情報セキュリティ管理における責任者だけを決定し、その人物に関連業務を丸投げするというケースがよく見られます。
しかし、これでは必ずどこかに脆弱性が生まれてしまう上に、責任者に任命された従業員の負担が大きくなり、離職につながるおそれがあります。
そのため、企業は以下のような役職者を決定し、情報セキュリティ管理の徹底と従業員の負担分散に努める必要があります。
・情報セキュリティ責任者
・情報セキュリティ部門責任者
・システム管理者
・教育責任者
・点検責任者
次は、各役職の概要と役割を見てみましょう。
情報セキュリティ責任者
情報セキュリティ責任者は、企業における情報セキュリティ管理を統括する責任者です。
情報セキュリティ管理には、経営陣やそれに近い職位の強いリーダーシップが必要ですが、その役割を担うのが情報セキュリティ責任者であり、具体的には企業における部署間の架け橋となり、情報セキュリティ管理や対策の取り組みを全体的に広げることを主な業務としています。
以前まで、企業では代表取締役などさらに上の役職者が、情報セキュリティ領域の責任者を兼務することも少なくありませんでしたが、セキュリティリスクが高まっていること、情報セキュリティ対策が経営責任の1つという認識が広まっていることから、独立した情報セキュリティ責任者を設ける企業が増加しています。
情報セキュリティ部門責任者
情報セキュリティ部門責任者は、企業の各部門における情報セキュリティの運用管理責任者です。
前述した情報セキュリティ責任者だけでは、企業という大人数が集う組織を取りまとめるのは難しいですが、各部門に1人ずつ責任者を配置することにより、理念や取り組みが浸透しやすくなります。
また、情報セキュリティ部門責任者の主な業務は、各部門における情報セキュリティ対策の実施であり、部門単位でその責任と権限を有します。
システム管理者
システム管理者は、企業において情報セキュリティ対策のシステム管理を行う役職者です。
具体的には、情報セキュリティ対策のシステムを企画、構築、運用し、構成管理、障害管理、性能管理、課金管理、セキュリティ管理などを行います。
また、企業において、情報システムの安定的、効率的な運用のための改善活動、システムを利用する従業員などに対する技術的な助言や支援も業務に含まれます。
情報システムを安全かつ安定的に運用、管理するための知識、ハードウェア、ソフトウェア、ネットワーク、施設、設備などの構成の管理、システム資源の維持、更新に対応するための知識やスキルが求められる役職です。
教育責任者
教育責任者は、企業内で情報セキュリティ対策を推進するために、従業員への教育を企画、実施する役職者です。
従業員一人一人のセキュリティ意識の向上、セキュリティリテラシーの向上および自社セキュリティポリシーの周知を目的とする教育を実施します。
セキュリティリテラシーとは、情報セキュリティに関する基本知識の理解、基本的な情報セキュリティ対策を行う能力のことを指しています。
また、情報セキュリティ教育の内容に関しては、ルールや業務プロセス、手順などを指す“オペレーション”、デバイスにおけるセキュリティ対策の実施やファイアウォールの導入などを指す“システム”、従業員のセキュリティ意識とセキュリティリテラシーの向上を指す“人間”の3つの側面から考える必要があります。
点検責任者
点検責任者は、企業において情報セキュリティ管理や対策が適切に実施されているか点検する役職者です。
システム管理者のサポート役のようなポジションで、市場環境や顧客ニーズが変化したとき、取引先や委託業者が変更になったとき、社内の情報インフラや情報システム、業務や運用に追加、変更があったときなどに、関連する範囲で利用される情報資源に着目し、点検を行います。
点検の進め方としては、現在実行中の情報セキュリティ対策が期待通りの成果を上げているかについて、対策の妥当性や適合性、適法性や実行速度などから評価します。
その結果、セキュリティ対策や管理に不備や不足あるいは行き過ぎの部分が見られる場合には、有効性を阻害する要因を特定し、改善します。
まとめ
ここまで、企業における情報セキュリティ管理に必要な人員配置と、各各役職の概要、役割について解説しましたが、いかがでしたでしょうか?
前述したような人員配置を実現することができれば、企業において大きな情報セキュリティ事故が発生する可能性は低くなります。
もちろん、今すぐに人的リソースを充実させるのは難しい企業もあるかと思いますが、できる限り役割を分担するのが重要だという
