情報セキュリティ対策において、情報セキュリティの方針の確立と並行し、対応する内部組織体制の確立が必要です。
内部組織の管理策
内部組織
情報セキュリティの役割及び責任
- すべての情報セキュリティの責任を定め、割り当てなければならない
職務の分離
- 相反する職務及び責任範囲は、組織の資産に対する、認可されないもしくは意図しない変更または不正使用の危険性を低減するために、分離しなければならない
関係当局との連絡
- 関係当局と適切な連絡体制を維持しなければならない
専門組織との連絡
- 情報セキュリティに関する研究会または会議、及び情報セキュリティの専門家による協会・団体との適切な連絡体制を維持しなければならない
プロジェクトマネジメントにおける情報セキュリティ
- プロジェクトの種類にかかわらず、プロジェクトマネジメントにおいては、情報セキュリティに取り組まねばならない
モバイル機器及びテレワーキング
モバイル機器の方針
- モバイル機器を用いることによって生じるリスクを管理するために、方針及びその方針を支援するセキュリティ対策を採用しなければならない
テレワーキング
- テレワーキングの場所でアクセス、処理及び保存される情報を保護するために、方針及びその方針を支援するセキュリティ対策を実施しなければならない
適切な責任と権限の割り当てが初めに要求されます。
組織の内部では、それぞれの業務に応じた情報資産の取得、利用、廃棄が行なわれます。
それらの取得、利用、廃棄を決定する権限をもつ立場の人が、情報セキュリティリスクに対応する責任をもつリスクオーナーになる必要があります。
役割と責任の明確化、職務の分離、関係当局や外部の情報セキュリティ專門組織との関係維持も内部組織構築で考慮すべきことです。
特に職務の分離に関しては、相反する職務の分離の他、業務プロセスを敢えて分離し、不正な情報資産の利用を防ぐ仕組みも必要です。
プロジェクトマネジメント遂行、モバイル機器、テレワークの実施にあたっての情報セキュリティ対策も要求されます。
これらを考慮した方針群を確立し、定期的なレビューを通して見直しのPDCAを回していく必要があるのです。
関連記事
情報セキュリティの人的・組織的対策① 組織の構造と情報セキュリティ
情報セキュリティの人的・組織的対策⑤ 法的、契約上の要求への対応
情報セキュリティの人的・組織的対策⑥ 人的資源の情報セキュリティ
情報セキュリティの人的・組織的対策⑦ 人的資源に対する管理策
情報セキュリティの人的・組織的対策⑧ 供給者関係の情報セキュリティ