2.2.4 セキュリティ計画

 セキュリティ計画立案時のポイントとしては、以下の点が挙げられる。

・ マネジメントの真の意図に基づく全社的な行動計画
・ セキュリティ支援の環境
・ セキュリティ支援のための手続き
・ 各人へのモチベーション

→まず、何をもって成功とするかの基準が必要。その周知を行い、実行計画を策定および評価することが必要。

(1)行動計画
a.セキュリティ担当役員(CSO)の任命
・ 全社的セキュリティ方針の確立と修正
・ それぞれの業務分野で、セキュリティ責任をもつのは一人の人間であることを保証
・ セキュリティの成功判定要因を定義
・ セキュリティ計画のための適切な資源が利用可能なことを保証
・ コンピュータセキュリティの年間行動計画と予算を作成
・ 社員の十分な教育、研修と管理職のセキュリティに対する要望の周知を保証
・ 複数部員にまたがるセキュリティの利害の対立を解決
・ セキュリティ計画の効果の評価および調整

b.コンピュータセキュリティ計画作成委員会(CSPC)の設立
・ コンピュータセキュリティ任務を定義
・ コンピュータセキュリティ任務の実行優先順位の決定
・ 任務遂行の責任を負う社員または部門を特定
・ 任務遂行に必要な資金と支援が得られることを保証
・ 任務が適切に実行されることを保証
・ コンピュータセキュリティ計画作成委員会の役割
・コンピュータセキュリティ任務の進捗状況の見直し
・コンピュータセキュリティに対する提案の採否
・コンピュータセキュリティ任務の優先順位
・コンピュータセキュリティ任務を遂行する実行責任者の決定
・コンピュータセキュリティ任務の遂行に必要な資金を獲得

c.セキュリティ品質保証部門(SQA)の設立
・ セキュリティの品質は、定義されたセキュリティに対する要件の一つであることの保証
・ 品質保証プロセスのセキュリティを定量的に評価する方法の確立
・ コンピュータセキュリティについての教育、研修と認識を徹底させる計画の作成を保証
・ より効率的なコンピュータセキュリティ計画を育成する推進役

d.a〜cのための資金
・ コンピュータセキュリティの存在の正当化→資金調達の実現
・ 「口を出すなら金を出せ」がルール

e.全社コンピュータセキュリティ計画の参加に対する、管理職の個人的確約
・ 意識させることが重要
・ 部下への指針の提示

(2)コンピュータセキュリティを支援する環境
a.上級管理者のコンピュータセキュリティセミナなどへの参加
b.全社コンピュータセキュリティ計画を検討させるコンサルタントの雇入れ
c.コンピュータセキュリティの侵害の強調
d.内部監査と外部監査にセキュリティ監査任務追加
e.コンピュータセキュリティ方針の公表

(3)個人に熱意を持たせる方法(モチベーション)
a.セキュリティ任務の委譲
・ コンピュータセキュリティ任務の明確化(個人に左右されない)
・ セキュリティ任務の遂行に必要な技能の明確化
・ 必要な職務技能をもつ社内の最下位にいる社員の明確化
・ コンピュータセキュリティ任務の実施能力を持つ下位の各社員への任務の割り当て

b.セキュリティの個人所有
→社員の課題、熱意と興味

c.セキュリティ任務の効果に関する個人へのフィードバック
・ セキュリティ侵入が試みられた回数
・ セキュリティ達成連続回数
・ セキュリティ任務を正しく実行するために踏まなければならないステップについての自己査定チェックリスト
・ セキュリティ手法が正しく働いているかの表示
・ セキュリティ任務を成功したと見なすために実行しなければならないステップの確認
→熱意をもたらす方策の検討

d.コンピュータセキュリティ活動に対する報償制度
・ 管理職からの賞賛と表彰
・ 専門知識向上のためのセミナ他プログラムへの参加許可
・ コンピュータセキュリティ分野での指導者の地位への任命
・ 月間セキュリティ功労者あるいは他の公式の表彰
・ 昇進決定の優先権

e.コンピュータセキュリティ活動の実行が変化に富むこと
・ セキュリティ任務を輪番制にする
・ さまざまなコンピュータセキュリティ任務を一人の社員に与える
・ コンピュータセキュイティ任務を、各種の技能を必要とする任務とする

f.コンピュータセキュリティ責務に関する個人の習熟

(4)職務の分離
情報システムに関わる職務は、一般的に以下のようなものがあげられる。

システム戦略企画担当
システム設計担当
プログラム作成担当
システム運用担当
データコントロール
ライブラリアン
データセキュリティオフィサ
データベース管理者
データの作成者
データの入力オペレータ
データ処理(マシンオペレータ)
データとコントロールトータルの検証担当
データの配布担当者
システム監査人

これらの職務のなかで、コンピュータセキュリティ上兼務してはいけないものがある。例を以下にいくつか示すが、これらの職務分離が明確になされていない場合、正当な内部牽制や内部統制が機能しにくくなり、システムを介する不正の温床になることがある。

(職務分離の例)
・ システム開発担当とシステム運用担当
・ システム運用担当とデータコントロール
・ プログラム作成担当とデータ入力オペレータ
・ プログラム作成担当とマシンオペレータ
・ データベース管理者とプログラム開発担当
・ システム監査部門と情報システム部門

(5)目的の一貫性を保持するための手続き
a.プライバシー保護の手続き
b.セキュリティ侵害告発手続き
c.セキュリティ報告手続き
d.データのバックアップと保存
e.災害対策手続き
f.ネットワークによる脅威への対処手続き



情報技術スキルアップの種のページへ
GLORY's OFFICEへ

Copyright(c)1998 by glory