Daisukeさーん。
Akariさんどうしたの?
今度会社で情報セキュリティポリシーを作ることになって、私が担当者になってしまったんですけど、何をしたらいいか全く教えてもらえなくて。
あらら、それは大変な仕事をもらったね。
ひどいんですよ!
社長から部長に回って、結局みんなやりたがらなくて。
そろそろAkariに何か責任のある仕事でもさせるかって……
中小企業だとまだまだ情報セキュリティが根付いていないし、とりあえず誰かにやらせればいいか、っていうのは多いのかもね。
で、Daisukeさん!情報セキュリティ担当者って何をすればいいんですか?わかり易く教えてくださいね。
了解!Akariさんが立派なCISO(最高情報セキュリティ責任者)になれるようしっかり説明するよ!
え!?いやいや、担当者でいいんですけど……
群馬県在住40代サラリーマン
転職して東京の大企業で講師を務めつつISMS運用にも携わる。- インフラSEから講師へキャリアチェンジ
- 30名ほどの中小企業でCISO(情報セキュリティ責任者)として7年間従事
- ISO27001(ISMS)導入
- テレワークなどクラウドを利用してのサービス導入に携わる
- 資産管理ツールやクラウドセキュリティなど導入実績多数
- 情報セキュリティマネジメント保有
- 情報処理安全確保支援士取得
この記事では中小企業で新たに情報セキュリティ担当者としての業務を開始する、もしくはこれから始めようと思っている情報セキュリティ担当者1年生にむけて
現役CISOの私が情報セキュリティ担当者のやること5選をご紹介します。
まず最初に情報セキュリティの基本である、情報セキュリティ3要素を確認したうえで、情報セキュリティ担当者の仕事。
そして、メインコンテンツである情報セキュリティ担当1年生のやること5選と進んでいきましょう。
基本を押さえたら次は情報セキュリティ担当1年生のやること5選です。
基本はわかっているからどうやったらいいかだけを知りたい方は下のリンクから目的の記事まで飛んでください。
IPAから中小企業のための情報セキュリティ対策ガイドラインが公開されています。
この記事と合わせて読んでいただくと、どのように対策を進めていくと良いかよりわかりやすくなります、ぜひご一読ください。
中小企業の情報セキュリティ対策ガイドライン – IPA
情報セキュリティ3要素
まずは、必ず押さえておきたい情報セキュリティ3要素について説明します。
情報セキュリティポリシーを作る際に、基準となる要素が3つあります。
まずは、この3要素がどんな意味を持っているのかを簡単に覚えてください。
機密性
漏れないことです。
機密性(Confidentiality)とは、許可された者だけが情報にアクセスできるようにすることです。許可されていない利用者は、コンピュータやデータベースにアクセスすることができないようにしたり、データを閲覧することはできるが書き換えることはできないようにしたりします。
国民のための情報セキュリティサイト ~総務省~
家の空調をよくするために空気が漏れないようにするのと同じ?
それは気密性。
会社の重要なデータは必要な人以外見られないようにしてね。ってこと。まあ似てると言えば似てるけど……
完全性
間違いのないことです。
完全性(Integrity)とは、保有する情報が正確であり、完全である状態を保持することです。情報が不正に改ざんされたり、破壊されたりしないことを指します。
国民のための情報セキュリティサイト ~総務省~
完全性?完璧に仕上がっている情報以外持っていてはいけないってこと?
確かにちょっと言葉だけだとわかり辛いかもね。
これは持っている情報に間違いがないという事で、資料を不正に書き換えたり、削除されたりしないようにってこと。
可用性
使えることです。
可用性(Availability)とは、許可された者が必要なときにいつでも情報にアクセスできるようにすることです。つまり、可用性を維持するということは、情報を提供するサービスが常に動作するということを表します。
国民のための情報セキュリティサイト ~総務省~
これはわかります、使いたいときにも使えるってことですね。
そうだね、必要なサービスを使いたいときに使えること。
パソコンやサーバーが壊れた時に業務を止めないように、って考えるとわかりやすいかな。
以上が情報セキュリティ3要素です。
どんな意味なのか覚えにくい場合は、下記のように覚えるとわかりやすく覚えることができます。
要素 | 覚え方 |
---|---|
機密性 | 漏れないこと。 |
完全性 | 間違いのないこと。 |
可用性 | 使えること。 |
この情報セキュリティ3要素を守るのが情報セキュリティ担当者の役割ですね。
そうだね、この3要素については情報資産台帳の作成や、情報セキュリティポリシー策定にあたってとても重要なキーワードになるよ。
情報セキュリティ担当者は何をすればいいの?
それではここから情報セキュリティ担当者の仕事について説明します。
ここで紹介する情報セキュリティ担当者の仕事は主に下記の4つです。
情報資産?
情報セキュリティポリシー?
ちょっといきなり難しいんですけど……
大丈夫、ちゃんとわかりやすく説明するね。
情報資産台帳の作成
最初に行う仕事は情報資産台帳の作成です。
情報資産台帳とは、自社でどのような情報資産を持っていて、その資産をどのように保護していくかを考えるベースとなる資料です。
情報資産は紙のデータや電子データ、さらにはパソコンやサーバーなどの機器なども含めて、とにかく何でもよいので一度エクセルやスプレッドシートにまとめてみましょう。
ISO27001等の認証をとる場合は抽出されたデータを、用途や管理担当、個人情報の有無や保管期限など様々な項目に分類する必要があるのですが、認証をとることが目的でない場合は、自社で持っている情報資産に何があるのかを把握できれば十分です。
情報資産台帳の詳細についてはLRM様のWebサイトをご覧ください。
情報セキュリティポリシーの策定
続いて情報セキュリティポリシーの策定です。
情報資産台帳の作成で作成した資産台帳をもとに自社で守らなければならないルールを策定します。
この決めたルールを全社員で守っていくことになりますので、現状とあまりかけ離れた厳しいルールを作ってしまうと、そこらじゅうでルール違反が発生してしまいます。
情報セキュリティポリシーの策定にあたっては情報セキュリティ白書などを参考にしつつ、自社に合ったルールを作っていきましょう。
社員への教育
情報セキュリティポリシーができたら、次は社員への教育です。
情報セキュリティポリシーの策定で決めたルールを社員に周知しましょう。
その際に最近のセキュリティ事故などの動向を含めてお話ができることが望ましいですね。
実際に私がISMSを導入したときに一番苦労した点はここだったりします。やっぱり社内にもいろいろな人がいますので、情報セキュリティポリシーについて難色を示したり、余計な口だけを出してくる方へ納得のいく説明をするのが一番難しかったりします。
実際の教育方法ですが、全体で講習会を開く、個別に指導する、内部で難しい場合は専任の講師を雇う、e-learningを導入する、などいろいろな方法があります。
自社に合った教育方法を導入してください。
経営者への報告
報告も大事な仕事の一つです。
仕事を依頼してきた人に報告するのは当たり前ですよね。
ISMS等の認証を取得する場合はPDCAサイクルを回している実績を残すために必ず実施しなければならない項目です。
認証を取得しない場合は必須ではありませんので、経営者もしくは上司と調整しましょう。
以上で、情報セキュリティ担当者の説明は終了です。
ううーん……簡単に言いましたけど、これって一人だとかなり難しくないですか?
そうだね、確かにこの仕事を一人でやってくれって言われたら大変だと思うよ。
あともうちょっと具体的な手順なんかを教えてもらえると非常にありがたいんですが……
というわけでやっと本編!ここから情報セキュリティ担当者1年生のやること5選を説明します!
一緒に頑張れるメンバーを集めよう
情報セキュリティを運用していくにあたって、一人では心細いですよね、決めなければならないことも多いですし、作成する資料も膨大です。一人で抱え込まずに、一緒に頑張ってくれるメンバーを集めましょう。
やっぱり、一人じゃ大変ですよね?
そうだね、まずはメンバーを集めて情報セキュリティ事務局を設置しよう。
ちなみに私が組織でISMS取得を任命されたときは2名からスタートでした。取得中に一人増え2人増えと、現在は4名のチームでISMSを回しています。
やはり複数人であーだこーだ言いながら進めていった方が話がまとまりますし、情報資産台帳の作成などは一人でやっていると自分の関わる部署の情報しか出てこないので、不完全なものになりかねません。
上司から複数人の指名が無かったら、自分で探してお願いしましょう。
ISMSでは情報セキュリティ担当者の集まりを事務局や委員会と表現することが多いです。
その中の一人が情報セキュリティ責任者(CISO)となります。
情報セキュリティ責任者って社長じゃないんですか?
そういう組織もあると思うんだけど、できれば情報セキュリティ責任者は経営者以外のほうがいいかな。
できれば以下のような体制がおすすめだね。
複数部署からメンバーを集めよう
会社に複数の部署がある場合はメンバーは各課から一人ずつ選びましょう。
これはここでも説明しましたが。業務内容は情報セキュリティ担当者で網羅しなければなりません。
また、小さい組織の場合内部監査も情報セキュリティ担当者が兼任することがあるのですが、ISMSの規定によると自部署の監査ができないことになっています。これも複数部署からメンバーを選定する理由の一つですね。
「こういう仕事は総務の仕事だろ!」って言われました。
現場に出る社員こそ。情報セキュリティ担当者になったもらいたいんだけど、なかなか理解が得られないことが多いよね。
もう私と仲が良い社員だけで固めてやろうか!
誰もやってくれないならそうするしかないね。
その方が仕事が回ったりするから、ここは担当者の独断で選んでいいと思うよ。
スキルは多いほど良い
情報セキュリティ担当者の仕事は多岐にわたります。
- 契約書や関連文書の作成。
- セキュリティ導入のためのコスト計算。
- セキュリティシステムの構築。
総務、営業、SE等どんな業務でもこなせるメンバーを集めたいですね。
担当者が全員シャイなんで、誰もみんなの前で説明ができません。
そうならないようにメンバーを選んでね。
教育をする際はみんなの前に立って説明をしなければならない場合があります。そんな時に全員が話すのが苦手で説明ができないと仕事になりません、必ずトークスキルがある人が必要です。
また、周知するための文章や書類を作成することも多いので、書類作りが得意な人もいるといいですね。
部署長である必要はない
各部署から担当者を選出したほうがいいのですが、部署で一番偉い人ではなくても大丈夫です。
できれば部署内でのある程度の地位を築いている人が望ましいのですが、そういう社員は大体いろいろな仕事を抱えているので、忙しいことが多いんですよね。
全員役職なしの一般社員の場合相当苦労しますが、やれないことはありません。努力次第では自分の会社での重要ポジションをもらえることになりますので、若手社員は積極的に立候補して下さい。
私がISMSを立ち上げた時事務局のメンバーは4人でした。私を含めたが3人が平社員で、もう1人も平社員の一つ上という状況でした。
一番大変だったのは導入にあたっての従業員教育で、百戦錬磨の営業さんや、パソコンの操作が苦手な職人相手に情報セキュリティ教育をする際にとても苦労した思い出があります。
セキュリティを高めるに利便性を犠牲にしたり、現状の業務について変更しなければならないこともたくさんでてきます。その際の説明会で
なんで情報セキュリティなんて導入するんだ!
こんな面倒なこと現場でできるわけないだろ!
俺はこんなことしないからな!
等、結構なダメージになるお言葉をたくさんいただいたました。
現在では全社員一丸となって情報セキュリティを進めておりますが、自分より上の立場の方に説明や指導を行うことはとても大変でしたね。
というわけで、まずは一緒に頑張れるメンバーを集めるところから始めようか。
何人か候補を考えたんですが、これってどこからお願いすればいいんですか?社長?
Akariさんが情報セキュリティ責任者になるのならAkariさんからでいいと思うよ。
とはいえ、業務にもかかわるところだからできれば社長から部署長を通して任命してもらうといいかもね。
ですよね、会議とかあれば業務の時間を削ってしまうわけだし。
それ以前に私が情報セキュリティ責任者になるって決まったわけでもないんです。
情報セキュリティ責任者は担当者同士で相談して決めるといいかな。
そうですね、まずはメンバー集め頑張ります!
社内の情報資産について調べよう
メンバーが集まったら本格的に情報セキュリティ担当者としての仕事をはじめましょう。
まずは、社内の情報資産について調べるところからです。
説明がざっくり過ぎて何をしたらいいかわかりません。
そ、そうだね……それじゃこれから順を追って説明するね。
情報資産台帳の作成
社内でどのような情報資産を取り扱っているか全て洗い出します。
基本は以下の6項目としますが、自社の資産台帳を洗い出していくうえで不要な項目、必要な項目があれば適宜追加して作成してください。
- 区分
- 管理部署
- 情報資産名
- 保管場所
- セキュリティ区分
- 利用者
区分 | 管理部署 | 情報資産名 | 保管場所 | セキュリティ区分 | 利用者 |
---|---|---|---|---|---|
顧客情報 | 総務部 | 売買契約書 | 総務部書庫 | 機密性・完全性 | 営業部 |
営業情報 | 営業部 | 売上集計表 | 社内サーバー | 機密性・完全性 | 営業部 |
OA機器 | システム部 | 社員用パソコン | 社員自席 | 可用性 | 全員 |
項目 | 内容 |
---|---|
区分 | 自分が管理しやすい項目名を記載してください。 ・顧客情報 ・営業情報 ・技術情報 など、大まかに分けていきましょう。必要あれば、大区分/小区分などにしてもよいと思います。 |
管理部署 | 情報を管理している部署のことです。 ・営業部 ・総務部 などですね。 社内全体で利用される資産は最終的に保管・管理する部署を記載したほうが良いでしょう。 |
情報資産名 | 情報資産の名前を記載します。 ・売買契約書 ・給与明細書 ・社員用デスクトップパソコン ・無線アクセスポイント ・MicrosoftOffice365 など、紙やデータで保管されるものやパソコンやサーバー等の機器、ソフトウェアも入れると良いでしょう。 機器やソフトウェアは別の文書で管理する。 ということであれば、そのことがわかるように記載しておきましょう。 |
保管場所 | その情報資産がどこにあるかを記載します。 IPAが提供している情報資産台帳の場合 ・書類 ・可搬電子媒体 ・事務所PC ・モバイル機器 ・社内サーバー ・社外サーバー と振り分けられるようになっていますが、この辺りは自社の運用に合わせて変更してください。 |
セキュリティ区分 | この情報資産がどの要素で保護しなければならないかを記載します。 例えば ・販売契約書は完全性 ・給与明細書は機密性 ・社員用デスクトップパソコンや無線APは可用性 など各情報資産を情報セキュリティ3要素に分別します。 完全性と機密性の両方で保護しなければならない場合は両方記載しておきましょう。 |
利用者 | 誰が使うのかを記載します。 売買契約書であれば総務部・営業部 社員用デスクトップパソコンであれば全員 となります。 |
これって無限に出てくると思うんですけど、どこまで情報資産台帳に入れればいいんですか?
全部抽出する必要はないので、思い当たる情報資産をとりあえず全部書き出してみよう。
これってそもそも何に使うんですか?
自社のもっている情報資産を元に情報セキュリティポリシーを作っていくんだけど、基本は情報資産台帳に関連付けて作成をしていくよ。
この辺りについてもこの先の項目で説明していくね。
自分の会社でどのような情報資産台帳を作ったら良いのかわからない場合、IPAから情報資産台帳のフォーマットが公開されていますので利用しましょう。
情報資産管理台帳 – IPA(※注意※xlsファイル直リンクです。)
取り扱いルールの確認
洗い出した情報資産台帳をもとに現状の取り扱いルールの確認をしましょう。
取り扱いルールの確認って何をすればいいんですか?
洗い出した情報資産台帳をもとに、現在その情報資産に取り扱いルールがあるか確認をしていこう。
例えば上の例で出した情報資産名の場合
情報資産名 | 現状の取り扱いルール |
---|---|
売買契約書 | 各営業担当が作成、お客様押印後総務部で書庫に保管している。 |
給与明細書 | 原本は給与支給日に社員に配布、控えを総務部金庫内に保管。 |
社員用デスクトップパソコン | ログインパスワードを設定している。桁数などのルールは無し。 |
無線アクセスポイント | SEの担当者が設定している。接続パスワードは全員知っていて自由に接続可能。 |
このように現状の取り扱いルールをまとめてください。
特にルールがない情報資産もありますので、それは書き出さなくても大丈夫です。
ここでは現状のルールを確認して書き出すだけでいいんですね?
そうだね、まずは現状の把握をすることが大事だね。
ルールの追加や、変更はもう少し先にしよう。
情報資産台帳にそのまま追記してもいいですか?
うーん、そのまま追記でもいいんだけどできれば別の一覧を作ったほうがいいかな。
リスクの洗い出し
作成した情報資産台帳と現状の取り扱いルールを元にいま会社が抱えているリスクを洗い出します。
リスクの洗い出しって?
現状の情報資産に対して何か危ないことがないか洗い出していきます。
本来は下記手順が必要なのですが。
今回はここまでする必要はないので、サクッと読み飛ばしてください。
- 脅威の明確化
- 重要度の評価
- 発生率の評価
詳しいリスクアセスメントの方法はLRM様のWebサイトISMSリスクアセスメント – サンプル事例から改善・見直しまでをご覧ください。
えぇ~……
何だか難しそう。
ISMSを運用する場合はここが一番大事なんだけど、今回はあくまでも会社の情報セキュリティを確保するのが目的なんで簡単にいこう。
簡単に……できますか……?
そうだね、情報資産台帳を上から見ていって、これはどうかな?ってみんなで意見を出し合うのがいいかな。
売買契約書は総務の書庫に保管してあるけど大丈夫かな。
総務の書庫は鍵がかからないから機密性で問題があるかもね。
じゃあ、鍵のかかる金庫に保管するように変更しようか。
確かにこうやって相談していけば何とかなりそう!
三人寄れば文殊の知恵ってやつだね!
話し合いをする中で、ぜひIPAが発行している情報セキュリティ10大脅威 2022を参考にしてください。
最近どのような脅威があったか、それにどのような対策をするべきかが開設されています。
社内の情報セキュリティを可視化しよう
現状把握が完了したら、情報セキュリティの可視化です。
前の章で調べた情報資産台帳や現状のルールを元にマニュアルを作成していきます。
- 現状をマニュアル化する
- 必要なルールを追加する(法令含む)
- 必ずしも完ぺきではなくても良い
現状をマニュアル化する
まずは、現状のルールをマニュアル化しましょう。
取り扱いルールの確認で作成したルールをマニュアルにまとめていきます。
まとめ方についてはわかり易くA4一枚にまとめても良いですし、小冊子のように何枚かにまとめても良いでしょう。
ここでは、社規社則に載っているいるようなことは避けてあくまでも情報セキュリティについてのことだけを記載してきますよう。
なにかサンプルのようなものがあるといいのですが。
とりあえず、おすすめのまとめ方と例を紹介するね。
ただ単に順番にルールを記載していくとわかり辛いので関連項目ごとに目次を付けてまとめると良いでしょう。
- 建物の入退室について
- ID・パスワードについて
- パソコンの使用について
- 電子機器(スマホやデジカメ)の使用について
- 電子媒体(USBメモリやDVD)の使用について
- 紙媒体の使用について
- セキュリティ事故発生した際の報告について
ここではルールの追加はせず、現状何となく行っている業務上のルールを紙に書きだして不足しているルールがないか確認をします。
例えば、パソコンにログオンする際のパスワードは必ず設定する。個人スマホは業務で利用しない、などですね。
特にID・パスワードについては基本をしっかり押さえてまとめください。
おすすめのパスワード管理方法について記載した記事がありますので、ぜひご覧ください。
必要なルールを追加する(法令含む)
続いては現状のルールに足りていないルールを追加していきましょう。
個人情報保護法やマイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)についても必要であれば追記してください。
必須なのは7の事故が発生した際の報告ルールですね、このルールがないと事故が起こった際に追跡もなにもできなくなってしまいます。
具体的にどうすればいいですか?
とりあえず、前項の「おすすめのまとめかた」でまとめているのであれば、何も記載されない項目を埋めていこう。
- 執務室は社員以外の立ち入りを禁止する。
- サーバー室は指定された社員以外の入室を禁止する。
- 社員の入退出は必ずセキュリティカードを利用する。
など話し合いでこの対策はしたほうが良いだろうとなった文章を追加してください。
必要な項目についてはIPAが発行している情報セキュリティガイドラインというものがあります。
その中でも付録4: 情報セキュリティハンドブック(ひな形)の必要な項目を抜粋して完成にしても良いくらいの作りです。
何を作ったらよいか結局わからなかった、という場合は「丸パクリ」でもよいでしょう。
ここ最近のコロナ禍においてはテレワークや遠隔会議などについてのルールも必須です。
ルール化されていないと導入が進まないですし、導入に際してはいろいろなトラブルが起こる可能性があります。
テレワーク導入のための導入ガイドを記した記事がありますので、あわせてご覧下さい。
完ぺきでなくても良い
これであなたの会社の情報セキュリティマニュアル・情報セキュリティハンドブックが完成しました。
まだどこか抜けがあるような気がするんですが……
そうだね、みんな初めてのこと何で抜けはあると思うよ。
えぇ!?だって抜けがあったらそこがセキュリティホールになったりそこから情報が漏洩したりそれが原因で損害賠償とか……
そうだね、確かに抜けが無いほうがいいんだけど、必要に応じて見直しをして徐々に完成に近づけていけばいいんじゃないかな。
ISMSの取得を目的としている場合は規格要求事項にのっとった施策をしないと審査に合格しません。
かならずJIS Q 27001:2014 情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項を確認し、施策を行ってください
今回作ったマニュアルはどうすればいいんですか?
ここからが一番大変なところだよ……
え……
もう、書類は完成したんだし私の仕事は終わったんじゃ……
全社員に協力してもらおう
ここまでできたらあとは運用するだけです。
ここが正念場です!事務局のみんなで作ったルールを全社員で実施していきましょう。
- マニュアルの配布及び説明。
- 情報セキュリティ教育の実施。
- 全員が知らなくて良いことがある。
マニュアルの配布及び説明
まずは事務局で作成したマニュアルを社員に配布しましょう。
配るだけで大丈夫ですか?
一番最初は集合研修の形をとって質疑応答できるようにした方がいいね。そこで問題点なども出てくる可能性もあるしね。
もしかしてDaisukeさんの苦労した、あの集合研修ですか?
そう、その集合研修です。
- 時間は30分~1時間以内まで。
-
情報セキュリティは大事なことですが、あまり長い時間を使ってだらだら説明しても中身が入ってきません。30分程度に収めて必要なことだけを伝えましょう。
- 最後に質問をして理解できているか確認を
-
研修の最後にマニュアルから数問問題を出して答えられるかの確認を行いましょう。
質問に答えられない、もしくはそもそも聞いていなかった人は後で個別研修などが必要なこともあります。
情報セキュリティ教育の実施
続いては情報セキュリティ教育を実施します。
これって、さっきやったマニュアルの配布説明とは別物ですか?
そうだね、ここでいう教育は「情報セキュリティについて」「個人情報保護について」など、より一般的なセキュリティ知識をインプットするための教育だね。
もしかして、この教材も私たちが作らないとですか……?
自社に合うものが無ければ作らないとだけど、この辺の教材はインターネット上に無料公開されているものも多いので、そこから見つけてくるといいと思うよ。
- 情報セキュリティ教育関連コンテンツ(IPA)
- 映像で知る情報セキュリティ(IPA)
- 情報セキュリティ白書2022(IPA)
- 国民のためのサイバーセキュリティサイト(総務省)
ちょっと見てみたんですけど、そのままつかえるのか、少し難しいですね。
うーん、取引先の大企業のシステムに教育コンテンツなんかがあると、そのまま使えるんだけどね。
教育には説明不要でテスト結果まで管理してくれるe-leaningがおすすめです。
一部無料でサービスを展開している企業もありますので、ぜひご活用ください。
教育の一環として全社員にITパスポートなどの資格を取得する!
というのも良いですね。
社員の情報セキュリティに対するリテラシーが低いとこんな事件が起こることがあります。
CISOとしてとても恐ろしい実体験でした。
全員が知らなくて良いこともある
知らなくてもいい人に一生懸命伝えたところで相手と自分の時間を無駄にするだけです。
情報資産台帳の作成やリスク分析等の部分は管理職のみに説明をして、一般社員には作成したマニュアルの説明をするだけで十分です。必要な人に必要な情報が届くようにしましょう。
全員に同じ教育をしなくてもいいですか?
本来ISMSだと役職や所属組織によって教育のレベルの設定をするんだけど、今回はざっくりとなんで、特にレベル分けをしていないんだよね。
だから管理職と一般社員で分けるってことです?
一般社員から管理職など上司への教育をしなければならないこともあります。
上司相手に「教育がうまく進まない」「クレームが入る」などのトラブルがあった場合はこちらの記事を参考にしてください。
実際に私がとっっても辛い思いをしてやっと得た答えが詰まっています。
PDCAサイクルが回っているか確認しよう
これが本当に最後の仕事、ここまでの流れでやるべきことはできているので、あとは正常に運用できているかを確認するだけです。
PDCAサイクルって?
まずはその説明から始めるね。
- Plan(計画)…情報セキュリティマニュアルの作成
- Do(実行)…社員への教育
- Check(評価)…内部監査や日常業務でのチェック
- Act(改善)…監査結果をもとにした改善
の頭文字をとった用語です。
ここまでやってきたことってPDCAのうちPDまでですか?
確かに4工程のうち2工程だけど、CAの2工程はここまで手間はかからないよ。
情報セキュリティを運用していくにあたって、評価と改善は必要不可欠です。
特に変化の目まぐるしいIT業界では常に改善が求められます。ここまでできたあなたなら大丈夫です!安心して計画を進めましょう。
ここからの仕事は記録に残しておくことが目的となります。ここまで頑張った成果を書面に残して証明しましょう。
定期委員会の実施
年に1〜2回事務局のメンバーを集めて問題が起こっていないかの会議をしましょう。
ここで何かあれば、マニュアルの変更や、セキュリティシステムの導入などの検討も必要です。
やっぱり導入が終わっても定期的に会議をしないとなんですね。
そうだねぇ、情報セキュリティって導入して「はい!おわり!」ってしづらいところがあるね。
会議をするためのポイントってありますか?
最新の情報セキュリティ市場に合わせた議題が必要だね。
ここでも情報セキュリティ白書を事前に確認しておくといいね。
会議の議事録は必ず残して下さいね!経営者への報告の際に重要な資料となります。
内部監査の実施
まずは内部監査です、内部監査は社内で自分たちの決めたルールがきちんと守られているか確認をします。
ISMSの場合はきちんと計画を立てて実行する必要がありますが、今回はISMS取得を目的とはしていないので簡単にいきましょう。
簡単にというと?
普段から社内でルールが守られているか確認する程度でいいと思うよ。
必要であればチェックリストを作って、部署ごとに年1回程度確認するといいかな。
チェックリストですか……
やっぱり何か作らないとなんですね……
情報セキュリティマニュアルに重点項目を設定して、そこだけをチェックする、ということだけでもいいよ思うよ。
もう疲れたのでできるだけ簡単に済ませたいです。
どんな監査をしてどんな結果になったか、最低限の監査報告書を作って残しておいてください。
こちらも経営者への報告の際の資料となります。
内部監査については実際の経験をもとに効果的な運用方法について別記事を作成しています、是非ご覧ください。
経営者への報告
これが最後の仕事、経営者への報告です。ISMSだとマネジメントレビューと言います。
先ほどの内部監査の結果や、今までに事故があるかないか、もしくは◯◯の件について相談など、ここでやっと経営者に現状を伝えるようになりますね。
とくに何もなければおっけー?
そうだね、何もなければPDCAサイクルがうまく回ってるということだから問題ないよ。
ただせっかくなので経営者から色々お話を聞けるといいね!
こちらも内部監査と同様に報告した際にどんな話をしたのかを記録に残してください。
今回は触れていないですが外部監査前にチェックしておきたい項目をまとめた記事があります、ISMS運用中で監査前の不安を少しでも和らげたい方は是非ご覧ください。
まとめ
なんか物凄い勢いで突っ走ってきた感じがします。
まあ、こういうのも勢いが大事だからね!
情報セキュリティって導入したら終わり、とならないんですね。
情報セキュリティって移り変わりが激しいので、毎年何かしらの見直しが必要になってくるからね。
まずは情報セキュリティの基本として「情報セキュリティ3要素」は必ず抑えてください。
続いて情報セキュリティ担当者の仕事です。
現状の把握→情報セキュリティポリシーの策定→社員へ教育→経営者への報告、とやることは盛りだくさんです。
ここでは流れだけを把握していただき、実際の手法についてはメインコンテンツで確認をしてください。
ここがこの記事のメインコンテンツ『情報セキュリティ担当1年生のやること5選』です。
これは実際に私がISMSを導入した際に経験したことを、初めて情報セキュリティに触れる方でも実施できるようにわかりやすくまとめたものです。
今回はISMS導入を目的としていないので、省けるところは省き、しかしセキュリティレベルの底上げにつなげられるよう記事を書きました。
何事も1人で進めようとすると限界があります。
頼れる人は頼って、使える資源(予算)は使って、乗り越えていきましょう!
Daisukeさんありがとうございました!
最後に
- 社員全員にITパスポート。
- 情報セキュリティ事務局メンバーに情報セキュリティマネジメント。
- 情報セキュリティ責任者(CISO)には情報処理安全確保支援士。
私が情報セキュリティマネジメント試験を受けた時の体験を記事にしています。ぜひご覧ください!
コメント