こんにちは、saeです。
今回は、情報セキュリティ対策基準の4章のセキュリティ管理体制について解説します。
セキュリティ管理体制については、すでにPマーク等でセキュリティ管理体制を整備している場合は、その体制を利用することが可能ですが、対象範囲が異なるため既存の組織との調整が必要となり、部署や役割の追加、修正が必要です。
4 セキュリティ管理体制
セキュリティ対策を推進するため、必要な体制の確立を行う。
4.1 主幹部署の設置
セキュリティに関する主管部署として「情報セキュリティ委員会」を設置する。「情報セキュリティ委員会」は、情報セキュリティ責任者(CISO)を補佐し、情報セキュリティに関してデータセンター全体の観点でのリスクアセスメント、プランニング、および各組織での実施の推進・支援を行う。具体的には以下の役割を担う。
・リスクアセスメント(リスクの評価)
・本センターセキュリティポリシの見直し、基準の策定
・管理体制整備
・技術情報・関連情報の収集、教育
・セキュリティ管理の導入・運用の支援
・重大トラブルへの対応支援
・セキュリティ管理に関する是正処置、改善処置の勧告
4.2 セキュリティ管理体制の整備
セキュリティに関する「円滑な情報共有」と「適切な予防対応、迅速な対処」を行うため、各組織単位(チーム毎)に「セキュリティ管理担当者」を、また運用管理上の責任者として「セキュリティ管理責任者」を置く。具体的には以下の役割を担う。
・「セキュリティ管理責任者」は、データセンター運用管理においてセキュリティ管理プロセスを推進する。
・「セキュリティ管理担当者」は、担当するサービス・運用業務または情報基盤において、全社セキュリティポリシおよび関連各種規程への準拠状況を確認し、必要に応じて適切なセキュリティ対策を行う。
・担当組織内、運用管理プロセス上でのセキュリティ状況の監視。組織内で管理を行う、各種セキュリティ権限の管理。
・セキュリティ監査への協力、セキュリティに関する教育・訓練の実施協力
情報セキュリティ責任者(CISO)、セキュリティ管理責任者、セキュリティ管理担当者および情報セキュリティ委員会を総称して、以下「セキュリティ管理者」と記述する。
