情報処理安全確保支援士 4.4 情報セキュリティのための組織

情報セキュリティマネジメントを組織全体で推進していくためには、情報セキュリティの責任を明確にするとともに、関連する部署の代表が調整しながら継続的な活動を行なっていく必要がある。ここでは情報セキュリティマネジメントに必要な組織、体制について解説する。

4.4.1 組織のあるべき姿と役割の例

情報セキュリティのための組織に関するISMSの要求事項

情報セキュリティのための組織・体制について、ISMSの管理作では、主に次のように記述している。

全ての情報セキュリティの責任を定め、割り当てること
組織の資産に対する許可されていない、もしくは意図しない変更や不正仕様の危険性を提言するため、相反する職務及び責任範囲を分離すること（職務の分離）
関係当局との適切な連絡体制を維持すること
情報セキュリティに関する研究会やかいぎ、情報セキュリティの専門家による協会・団体との適切な連絡体制を維持すること
プロジェクトの種類に関わらず、プロジェクトマネジメントにおいては情報セキュリティに取り組むこと

これらの中で特に重要であるのは１の情報セキュリティの責任を明確に定めることである。これらの事項については、情報セキュリティポリシに明記する必要がある。

情報セキュリティ管理体制と役割の例

情報セキュリティ管理体制と役割の例を下図に示す。

情報セキュリティ管理体制と役割の例

CISO（最高情報セキュリ責任者）

当該組織における情報セキュリティの最高責任者であり、一般的に経営責任を持つものが相当する。

情報セキュリティ委員会

当該組織における情報セキュリティマネジメントに関する意識決定を行う最高機関であり、CISOが委員長を務める。委員は各部門の責任者（本部長、あるいは部長クラスのもの）が務める。なお、呼称や設置形態はさまざまで、組織全体のリスクマネジメントを行う「リスク管理委員会」など包含されたり、下部組織として位置付けられたりする場合もある。具体的には、次のような事項を決定・承認する役割を担う。

情報セキュリティマネジメントに対する経営資源の割り当て
情報セキュリティマネジメントに関する前者的な方針、規定、施策などの承認
情報セキュリティマネジメントに関する不足事態発生時の対応方法

情報セキュリティ委員会事務局

総務部門、情報システム部門など、社内の情報セキュリティ関連部門から選出された担当者が事務局となり、情報セキュリティ委員会を開催、討議事項の取りまとめ、決定事項の周知などの事務作業を行う。

情報セキュリティ推進担当会議

情報セキュリティ委員会の下部組織として、各部門における情報セキュリティマネジメントを実際に推進する役割を担う。同会議への参加者（情報セキュリティ推進担当者）は、各部門の責任者から任命された課長やリーダクラスのものであり、情報セキュリに関する基本的な知識を有しており、関連資格の保有者であることが望ましい。情報セキュリティ推進担当者は次のような作業を行う。

各部門における情報セキュリティ教育の実施
各部門における情報セキュリティ対策の実施指示
各部門における情報セキュリティkっユリティ対策実施状況、事件、事故の発生状況などの把握
各部門固有の情報セキュリティ対策手順、申請書類、管理簿などの作成

なお、規模の大きい組織においては、このような前者的な情報セキュリティ推進組織を設置するのではなく、各部門内に情報セキュリティ委員会を設置し、同様の役割を担わせる場合もある。

情報管理責任者

各部門やプロジェクトなどの責任者（課長、リーダーなど）が、各課やグループ内で取り扱う情報の管理者として、次のような役割を担う。

情報の重要度や取扱方法（保管場所、廃棄方法、持ち出しの可否など）の判断
情報セキュリティに関する各種申請の確認・承認
情報セキュリティ対策実施状況、事件・事故の発生状況などの把握
情報セキュリティ対策の実施指示

情報システム管理者

情報システム部門が情報システムに対するセキュリティ対策の実施・管理などの責任者となる。各部門が独自に管理している情報システムについては、当該部門の責任者やIT担当者が管理者となる場合もある。

監査担当

情報セキュリティマネジメントの適切性について監査する役割を務めるため、内部監査部門が担当する。内部監査部門がない場合には、ISMS審査員、システム監査技術者、情報セキュリティアドミニストレータなどの融資資格者からなる監査担当チームを編成して対応することもある。その場合には、各監査担当者は自分が所属する部門の監査を行うことが内容にする必要がある。監査の主なテーマは次のようになる。