セキュリティ委員会の組織
委員会とは
セキュリティ管理実施に当たってはせんもんの委員会を結成するのが一般的。
通常業務における対策は現場担当者が行うが、管理策定段階では全社的な業務の流れの考慮や部門を越えた折衝を行う必要があるためある程度高位の人事管理者が参加して全社横断的な体制を組織する必要がある。
往々にして構成員が多忙な場合が多いため、活動は迅速かつ効果的に行う必要がある。また高位役職の人間に技術的知識が不足する場合には技術アドバイザとして若手社員が加えられる場合もある。
いずれにしてもセキュリティ管理の中核を担う事になるため、委員会の設立・運営においては以下に示すような点に留意することが大切である。
経営層の参加
委員会には各事業部の長とセキュリティ担当者が参加するが、経営層の参加も重要なポイントである。委員会の活動は業務手続きの変更なども内包しており場合によっては手順の煩雑化を招く。社員のセキュリティ意識いかんによっては委員会の方針を無視する状況も考えうるため、経営層を招く事で委員会に権威付けをすることが重要になる。
また全社的な取り組みであるセキュリティ管理では、経営層の責任を明確化する必要もあり、その際に経営層の人間本人が居合わせことで効果的な活動が行える。
他にもセキュリティ業務がコスト項目であるという特性や、ポリシーが外部向けにも発信される点をかんがみても経営層参加によるメリットは大きい。
既にISMS認証基準(Ver2.0)では経営層の参加が認定条件となっており、経営層参加はセキュリティ施策運営に於ける必須事項といえる。
策定期間の明確化
委員会の構成員が高位役職の人間中心であることから、委員会の活動期間を不必要に長くするのは経営上好ましくない。また技術的側面から見ても、発展が目覚しいセキュリティ分野は長期的議論をするメリットが薄い。
そのため委員会の活動ではポリシー策定に要する期間を明確化する必要がある。委員会はあらかじめ策定したスケジュールにしたがって活動を行い、策定した期限内にポリシーを確定することが望ましい。
実施開始日の明確化
セキュリティポリシーはある意味社内ルールであり、法令同様に施行時期を決める必要がある。実施開始日はそのポリシーが業務に与える影響、手続き変更や周知徹底に要する期間などを鑑みて決めることが重要である。
特に上位文書はより詳細な内容を定めた下位文書の存在なしには実質的な効果を発揮できないため、より長い施行猶予を要する。
下流工程の重要視
従来、多くの企業のシステムでは上流過程(計画や実施、設計や開発など)が重要視される傾向にあったが、プランを実行した際にはそれを点検・見直しする下流過程も重要となってくる。一般業務でも下流過程重視の風潮は高まっているが、とりわけセキュリティ業務に置いては、著しく変化する状況にあわせた点検と見直しが特に重要となってくる。ポリシーは一度策定されて終わりではない。むしろ、その後の見直しと改善こそ最重要項目である。それゆえにセキュリティ業務では下流工程を重要視し、そこへの人材配置も忘れてはならない。
洗練されたメネジメントシステムにはPDCA(Plan Do Check Action)サイクルが必要不可欠である。ポリシーのPlanとDoだけに気を取られず、随時CheckとActionを繰り返すことを心がけること。
