情報セキュリティ、最初に何をやるか？

最近、セキュリティの立ち上げで何をやったらいいかわからない、という質問を何度か受けるケースがあったので、最初に何をやるか、というのを情シスやセキュリティ担当者としての考えをまとめて記事にしてみました。
50人超えてきて、そろそろISMS取得しつつしっかりやりたいんだけど、何をどうやろうか？という人々向け。組織規模がまだ50人未満で最小限度整えたい、という場合は、IPAの出している中小企業向けガイドラインとかで、基本方針作って社員向けのルールを作って教育する、くらいでいいかなあと思いっているものの、ISMS取得して運用しようとするとそれだと足りないので、どんなタスクが必要になるかざっと書きました。

セキュリティの立ち上げで何をやる？

なお、ユビーでは、内部監査組織を発足させるべく取り組みを開始したので、リスク管理とか内部監査やる人材の募集を開始しています。OPA/Regoやってくぞ！Yaml書けるぞ！という方、一緒に働いてみませんか？

リスクマネージメント・スペシャリストの募集 | Ubie株式会社 採用情報

ざっくばらんに記事の内容とかユビーについて話を聞いてみたい、という方にはMeetyも公開したので、こちらからどうぞ。

セキュリティ/情シスとか、あるいはキャリアについて