【情報セキュリティ】情報セキュリティ管理体制図作成のポイント

情報セキュリティ規程を定めるとともに、「情報セキュリティ管理体制図」を作成する会社は多いと思います。作成にあたってのポイントですが、①体制図が適切なレベルの上級管理職によって承認されていること、②各部門に情報セキュリティ管理者・担当者が配置されていること、③管理者・担当者の役割と責任が明確であること、と考えます。

私が実務上最も大事だと考えているのは、「ネットワーク切断可否の判断を誰が行えるのかを定義しておくこと」です。

昨今、外部からの不正侵入やネットワークを介するウィルス（マルウェア）により、感染の拡大を防止するためにネットワーク（通信）を遮断する必要が生じるケースが増えてきています。インターネットとの接続を遮断するのか、社外とのEDI接続を遮断するのか、工場の一部LANを遮断するのか、一部支店を遮断するのか、海外関係会社との接続を遮断するのか等様々な場面が想定されますが、どのネットワークを遮断するのを誰が決断するのか（決定者が不在の場合の次席者は誰か）を決定しておき、速やかな決断ができる体制を構築することが望まれます。

もちろん、実務上は様々な事情を考慮する必要がありますし、時には複数の責任者での協議も必要ですが、少なくとも意思決定者が誰かは明確にしておき、被害の拡大を防ぐ必要があると考えます。
（本格的な体制が必要な場合はCSIRT構築を検討してもよいと考えます）