情報セキュリティ担当者は、組織の情報資産を保護し、情報セキュリティリスクを最小限に抑える役割を担う人材です。
JAPHICマーク取得企業でも、当然情報セキュリティ担当者を設置するのが望ましいですが、担当者は業務を行うにあたってさまざまな配慮が必要です。
今回は、こちらの配慮の内容について解説します。
情報セキュリティ担当者が業務上配慮すべきこと4選
JAPHICマーク取得企業の情報セキュリティ担当者は、主に以下の配慮を行わなければいけません。
・従業員への配慮
・経営陣への配慮
・体制の構築と維持への配慮
・その他の配慮
各項目について詳しく説明します。
従業員への配慮
JAPHICマーク取得企業の情報セキュリティ担当者は、情報セキュリティポリシーを策定し、すべての従業員が理解できるよう研修などを通じて周知徹底しなければいけません。
また日々の業務において、情報セキュリティの重要性を従業員に浸透させることで、サイバー攻撃など脅威を未然に防止できることにつながります。
どれだけ情報セキュリティ担当者の能力が優れていても、業務を行う従業員の意識やスキルが不十分だと意味がありません。
経営陣への配慮
情報セキュリティ担当者は、業務を行うにあたって経営陣にも配慮すべきことがあります。
例えば、情報セキュリティ対策の目的を明確にした後は、経営陣と共通認識を持てるようコミュニケーションの機会を設けなければいけません。
意思疎通ができていない場合、経営陣と情報セキュリティ担当者の指示の整合性が取れなくなり、従業員が混乱してしまうおそれがあります。
また経営陣は必ずしも情報セキュリティに明るい人物とは限らないため、担当者が詳しい対策などについてレクチャーするのは決して不自然なことではありません。
さらに、経営方針に合わせた情報セキュリティ基本方針を策定し、経営陣が積極的に対策に関われるよう工夫することも求められます。
体制の構築と維持への配慮
情報セキュリティ体制の構築と維持に関する配慮も、情報セキュリティ担当者は意識しなければいけません。
例えば万が一JAPHICマーク取得企業でインシデントが発生した際に、短期間で収束させるための連絡体制や、ベンダーとの関係を構築しておく必要があります。
また定期的にJAPHICマーク取得企業のリスクアセスメントを行い、情報セキュリティポリシーを更新するなどして、常にセキュリティ体制を向上させていくことも大切です。
その他の配慮
その他の配慮としては、最新情報の収集や技術的対策以外の視点を持つことなども挙げられます。
情報セキュリティの分野は常に変化するため、継続して最新の情報を収集し、知識をアップデートし続ける必要があります。
こちらは従業員や経営陣に配慮するとき、必ず求められることです。
また情報セキュリティ担当者は、技術的な対策だけでなく、人的・組織的な側面から社内の情報セキュリティに対してアプローチすることも大切です。
例えば、JAPHICマーク取得企業の規模に合った対策を講じることや、従業員のスキル・得意分野・性格などに合わせた人材配置を進言することなどが該当します。
情報セキュリティ担当者は、ことその分野においてはJAPHICマーク取得企業の代表と言っても過言ではありません。
そのため、自社のセキュリティ体制を強化するためであれば、経営陣にさまざまな提案をすることも時には必要です。
まとめ
JAPHICマーク取得企業の情報セキュリティ担当者に配慮が足りなければ、JAPHICマーク取得企業は強固なセキュリティ体制を確保できません。
なぜなら、経営陣との関係はうまくいきませんし、従業員にも適切な指示を行うことができないからです。
またJAPHICマーク取得企業の経営陣は、前述したような業務をスムーズに遂行できる情報セキュリティ担当者を採用・育成しなければいけません。
