セキュリティシステムの全責任を担う責任者の行う作業には、以下があります。

• セキュリティポリシーの策定

• ふさわしい管理者の選任

• 管理者の教育

• セキュリティポリシーの見直し

セキュリティポリシーとは、企業や組織が情報資産に対してどのように取り組み、全社員がどのように行動すべきかという方針を明文化したものです。

責任者が組織全体のセキュリティポリシーの策定を推進し、セキュリティに対する取組み方針を決め、自らが手本を見せます。

企業活動の指針となるセキュリティポリシーを策定し、全社的に責任のある取組み姿勢を確立することです。

セキュリティポリシーの検討項目

セキュリティポリシーは、脅威の分析に基づいてどのような対策を講じるかを決定します。

具体的には、以下に挙げるような項目について、組織全体で検討します。

• 何を守るのか(守るべきものを明確にする)

• 何から守るのか(脅威となり得るものを明確にする)

• どのようにして守るのか(可能な防衛策を明確に認識する)

• どこまで保護するのか

セキュリティポリシーの記載項目の例

セキュリティポリシーの記載項目の例を以下の図に示します。

図3.2 セキュリティポリシーの記載項目の例

ユーザの環境や業務方針、規模などによりセキュリティポリシーは千差万別ですので、各自の環境に合ったセキュリティポリシーを策定してください。

責任者は、組織構成員の中から管理者としてふさわしいと判断した人をセキュリティシステムの全責任を担う管理者として選任します。運用の統括や環境の構築、維持を行うという観点から適切な人間を管理者に任命しなければなりません。1人の人間に権限が集中しないように、複数の人間を管理者に任命します。そのために、十分な審査や教育を実施しなければなりません。

責任者は、セキュリティシステムを任せる管理者がセキュリティのエキスパートになるよう、セキュリティに関する専門的な教育を受講させます。

また、管理者に情報処理技術者試験の中でセキュリティ管理者を認定する「情報セキュリティアドミニストレータ」という資格試験を受験させることをお勧めします。公に認められている資格を取得することで、管理者としての意識と資質の向上を狙うことができます。

最初に設計したセキュリティポリシーについて、セキュリティの観点から情報漏洩などの面で弱点部分がないかの再確認を行います。