セキュリティの分類(4) - 組織セキュリティ
組織セキュリティ
企業などの組織では,個人が情報セキュリティを認識して実践することだけでなく,組織の方針に従って,人的セキュリティを周知し,実施させる必要があります.そのために必要なセキュリティを人的セキュリティと区別して,「組織セキュリティ」(Enterprise Security)と呼ばれます.組織セキュリティは組織自体を守るために実施します.様々な考え方を持った個人の集合であるなんらかの組織体には必ず必要なセキュリティです.少人数であれば合意という形で作られることもありますが,人数が多くなるにつれて,上意下達が必要になります.一般に企業では経営者が方針を徹底させるという形で,従業員にセキュリティを実践させなければなりません.
ここでは,組織セキュリティの主な考え方を示します.
1.セキュリティポリシー
組織のセキュリティのポリシー(方針)を決めます.組織の事業基盤を守るために実施する項目を定め,実施の責任者によって全体に徹底させます.
2.情報セキュリティ運営組織
セキュリティポリシーに従った運営を行うために委員会などを組織します.実施するにあたって必要な文書を定めたり,後述する部門間の調整などを行います.
3.部門間の調整
部門ごとに必要となるセキュリティの範囲の決定や各部門間のセキュリティ実施のための不整合を調整します.特に組織全体の方針などを決める場合には,各部門の責任者が同意(承認)して推進を促すことが必要です.運営組織に各部門の長(責任者)を含めることで,全体の意思統一と共有範囲・固有範囲の決定などが行えます.
4.ポリシーの見直し
ポリシーを決めた後も定期的な見直しが必要です.一旦決めたポリシーを放置すると,形骸化して実施されなくなったり,世の中の変化に追従できていなかったりします.運営組織の定期的な開催とともに,ポリシーの見直しをします.
ここまでは,組織全体の情報セキュリティの強化を行うために必要な項目です.つづいて,考慮すべき内容に触れます.
5.アクセス種類
正社員,管理職,役員,パート,請負業者,委託先業者などの違いによって,触れることのできる情報と手続きなどを決める必要があります.
6.契約におけるセキュリティ項目
契約書にセキュリティの項目を明記します.仕事を請ける立場では,取り扱う情報の範囲やPCの持ち込み貸与などを確認します.仕事を発注する立場では,請け負い業者の扱った情報の秘密保持や使用するPCの取扱などを取り決めます.いずれの立場でも,不要な情報が残ったり,漏れたりしないようにすることと,お互いの責任範囲や入退出などに関する管理面でのセキュリティ上の取り決めを明記しておくとよいでしょう.
7.管理責任と免責
守るべき情報の管理を行う責任者とその責任の範囲を決めます.例えば,サーバに保管されている個人情報のデータの漏洩に関する責任と各個人のPCに保存された個人情報のデータのの免責などです.
8.事故の対処
情報セキュリティに関する事故が発生した場合の対処方法を決めておきます.どこにどのように報告するのか,その間の事業の停止との優先順位などを考慮しておきます.
主な事項を記述しましたが,組織セキュリティについては,いずれ,「セキュリティポリシー」などの項目でさらに詳細に説明します.次回は目的別の切り口から情報セキュリティの分類と解説を試みます.