セキュリティポリシー策定講座(5)

第７章　セキュリティマネジメント体制および構成員

当社の情報セキュリティマネジメント体制を次のとおり定める。

経営層
｜
情報セキュリティ最高責任者
｜
情報セキュリティ委員会
｜　　　　　　　　　　｜
各部門　　　　　　情報システム部門
｜　　　　　　　　　　｜
セキュリティ担当者　システムセキュリティ担当者

（情報セキュリティ最高責任者）
第○条　情報セキュリティ最高責任者は、全体の情報セキュリティマネジメントが有効に機能するように、総括的責任を持つ。情報セキュリティ最高責任者は、当社の役員の中から情報統括担当役員として取締役会で指名する。

（情報セキュリティ委員会）
第○条　当社の情報セキュリティを維持していくために、情報セキュリティ委員会を設け、全社的なマネジメント体制を整えるものとする。

1：情報セキュリティ委員会は、当社における情報セキュリティマネジメント実施計画を作成し、その計画どおり情報セキュリティマネジメントを実施しなければならない。
2：計画には、情報セキュリティマネジメントを遂行する為のリスクアセスメントおよびリスクマネジメントをはじめ、セキュリティポリシーの見直しや従業員への普及・啓発についても考慮しなければならない。
3：情報セキュリティ委員会は、情報セキュリティに関する継続的な社内教育を行わなければならない。また、社内教育は、セキュリティに対する意識向上と技術向上の両面から実施しなければならない。
4：情報セキュリティ委員会は、監査の結果を受けて、セキュリティポリシーの妥当性を評価するとともに、必要に応じて、内容の改訂を行わなければならない。
5：情報セキュリティ委員会は、情報セキュリティの維持・管理状況やセキュリティポリシーの改訂状況および情報セキュリティに関する事故や問題の発生状況を経営層へ報告しなければならない。

（情報システム部門）
第○条　情報システム部門は、情報セキュリティ委員会で決定した対策事項を実施および推進する担当部署とする。情報システム部門では『ソフトウエア、ハードウエア導入規程』で作成された各管理台帳をもとに、社内システムに導入されている全てのソフトウエアおよびハードウエアのセキュリティ情報について、定期的に情報を収集しなければならない。また収集した情報を、必要に応じて情報セキュリティ委員会に報告しなければならない。

（システムセキュリティ担当者）
第○条　システムセキュリティ担当者は、情報システム部門に属し、管理を依頼された情報機器に対して、セキュリティ対策を実施する。

※情報システム部門がない場合、情報機器の管理台帳を管理する部門が担当する。

（セキュリティ担当者）
第○条　セキュリティ担当者は、情報システム部門以外の各部署の部門長により最低一人を任命する。セキュリティ担当者の役割は、部門内におけるセキュリティ推進および社員のセキュリティ対策および情報セキュリティマネジメントへの不平・不満および問題点等の情報を収集する。収集した情報は情報システム部門へ報告する。

【水谷IT支援事務所・所長、AllAbout「企業のIT活用」ガイド　水谷哲也】
　http://allabout.co.jp/career/corporateit/

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
◎有料版Scan申込＞ http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm