ISM/CISOサイバー犯罪捜査官・
情報セキュリティ管理者とは

情報セキュリティ管理者とは、情報資産をセキュリティリスクから守り、業務を継続するための組織の取り組みを管理することです。
ここでいうセキュリティリスクとは、マルウェア感染、不正アクセス、内部不正などによる情報漏洩、業務中断などが挙げられます。これらセキュリティリスクによる影響は、企業や組織にとって大きな脅威です。
そして、セキュリティの確保・管理の方針を具体的に取り決めたものが情報セキュリティポリシーです。
情報セキュリティ管理者に必須な情報セキュリティポリシーとは、企業・組織における情報セキュリティ対策の方針・行動指針です。
情報セキュリティ管理者は、このセキュリティポリシーに沿って行います。方針や指針をはじめに定め、そこから詳細化を行い、最終的には情報セキュリティ管理者で実施する内容を具体化したレベルで記載します。
情報資産やIT基盤、業務形態などは組織により異なるため、組織にあったポリシーをそれぞれが定める必要があります。
情報セキュリティ管理者が行う、情報セキュリティ管理は、PDCAのサイクルを用いて実現することが多いです。これらのプロセスを繰り返すことで、情報セキュリティ管理の精度を高め、セキュリティを確保します。
情報セキュリティ管理者が行う情報セキュリティ管理のプロセスについては、次のとおりとなります。
情報セキュリティ管理者が行う計画(Plan)とは、情報セキュリティ対策の実施計画をたてます。企業の持つ情報資産とセキュリティの状況を洗い出し、現状把握をします。その後、課題や改善点を見つけて達成目標をたて、情報セキュリティ対策を検討します。
情報セキュリティ管理者が行う実行(Do)とは、計画で定めた情報セキュリティ対策を実施、情報セキュリティ管理を実行します。部署やチームごとに担当者を置き、組織全体で協力して取り組むことが重要です。
情報セキュリティ管理者が行う確認(Check)とは、情報セキュリティ対策、情報セキュリティ管理がどのように行われたのか、どれだけ成果をあげたか、そしてどのような問題点が発生したのかを、計画時にたてた目標をもとに確認します。計画どおりに情報セキュリティ対策、管理が実施されたかを確認し、成果および改善点の洗い出しをします。
情報セキュリティ管理者が行う改善(Action)とは、確認の結果見つけた課題、改善点を検討します。解決策や改善策を打ち出したり、プロセス全体の見直しを行い、情報セキュリティ管理を組織全体に浸透させることも大切です。再度、セキュリティ管理の計画を立ててPDCAサイクルを回し、よりよいプロセスを作り上げます。