情報セキュリティ担当者とは？主な対応事項や知識の深め方も解説

情報セキュリティ担当者とは

情報セキュリティ担当者とは、会社の情報セキュリティ体制を企画・実行する人です。
情報セキュリティに関するリスクをアセスメントし、リスクを抽出すること、リスクに対して対応策を企画し実施することが職責とされています。

会社の情報セキュリティに対する脅威には、外部からの脅威と内部からの脅威、大きく分けると2種類の脅威があります。その中でも具体的にどのような脅威に対して会社が十分な対策がとれているのか、何が不十分なのか、常に評価するのが情報セキュリティ担当者の職責の一部です。
脅威を認識したら、対応策を用意し、必要に応じて予算と工数を確保のうえ、実行します。

これらの職責のため、常に最新のセキュリティ動向に目を向け、対応策に関する技術的な動向や知識も常にアップデートする必要があります。

また、組織の中で、情報セキュリティマネジメントを行う立場から、必要な体制を整え、組織的な対応策についても立案実行する役割を担っています。例えば情報セキュリティの各部の責任者を設置する際には、情報セキュリティ担当者がリードします。また、情報セキュリティは、経営の重要問題です。情報セキュリティ体制の最高責任者は代表取締役であることが多いものですが、経営者に報告をすることも職責の内容です。

情報セキュリティ人材の役割とリソース不足の解消方法についてまとめた資料を無料で配布していますので、こちらもあわせてチェックしてみてください。

情報セキュリティ担当者の仕事内容とは

情報セキュリティ担当者の仕事内容には、次のような業務があります。

情報セキュリティポリシーなどの社内規定の維持と改版

情報セキュリティポリシーはISMS認証などの認証を取得している会社では必須ですが、ほとんどの会社に何らかの形であるものです。

情報セキュリティポリシーは、リスクの変化に応じて、常にアップデートする必要があります。
アップデートの必要性を検討し、実行することが情報セキュリティ担当者の仕事の一部です。

ドラフトを策定して、合議体に上申し、承認を受けるため、事務手続きも行います。

また、ポリシーを具体化する手順書・マニュアルの作成、業務フローの見直しなども重要な仕事です。

事業部門との各種調整

情報資産の棚卸、事業部門の個別の安全管理策の実施を促すなど、事業部門と情報セキュリティ担当者は調整・折衝など常に協働する必要があります。

必要とされる安全管理策の協力をどのようにして得ることができるか、協力を求めたり、あるいはヒアリングなどで教育・研修などのニーズを把握します。実施計画なども事業部門と話し合って決めていきます。

認証の取得・維持・管理に関する事務局

ISO27001、ISMS、プライバシーマークなどの認証の維持管理に関しては、事務局を兼ねることが多いものです。情報セキュリティ担当者が旗振り役となり、また、認証に必要な手続きを行い、認証の取得・維持管理を行います。

従業員向け教育コンテンツの作成・教育実施

従業員向けに、情報セキュリティ教育を行うことは、情報セキュリティ担当者の毎年の重要な仕事の一つです。各種認証に必要な事であると同時に、最新のセキュリティ情勢にあわせ、一人一人に会社に必要な安全管理策を実施してもらうために重要な仕事です。

情報セキュリティに関するソリューションの導入、そのためのプロジェクト管理

情報セキュリティ担当者は、必要な技術的な安全管理策を導入する際にもリード役を努めます。
ソリューションの選定・ソリューション導入のプロジェクト管理が主な仕事内容です。

インシデント対応

セキュリティに関するトラブルが発生した場合、当事者に適切に指示をし、顧客や経営陣等に報告をします。案件の収束までに生じる対応策などに関する情報や、文書を管理することも、情報セキュリティ担当者の仕事です。

インシデント対応に必要な項目を網羅したインシデント管理台帳を無料で配布していますので、ダウンロードしてご活用ください。

情報セキュリティ担当者の勉強方法3選

情報セキュリティ担当者は、情報セキュリティに関するリスクと対応策について、最新の知識をアップデートして、常に備える必要があるといえるでしょう。どのように知識を深めるかが問題です。

また、特に、情報セキュリティの担当者になった場合に、勉強は不可欠であると同時にどのようにしたら良いのかわからない方もいることでしょう。

そこで、次に初心者でも中級者以上の方でも使える勉強方法を3つご紹介します。

外部の情報セキュリティ担当者向けのセミナーを受ける

もし可能であれば「外部の情報セキュリティセミナー」を受けてみることをおすすめします。

というのもセミナーの場合、レベル別に初心者向けなども行われていたり、疑問点をその場で質問して解消するといったことも行いやすいです。

もちろん組織として認められるのであれば有料のセミナーなどを受けられると一番良いかもしれませんが、理解がないとなかなか認めてもらえないケースなどもあるかもしれません。

そういった場合には、無理に有料のものを受けるのではなく、さわりとして無料のセミナーでも受けてみることをおすすめします。

弊社でも定期的に情報セキュリティに関する無料セミナーなども実施しておりますので、お気軽にご参加ください。

情報セキュリティに関する本を読む

最も行う人が多い勉強法であると同時に、もし新しく担当者になった場合には、最も早い方法かもしれません。

たしかに本を読む時間が取れるのであれば、しっかりと情報がまとまっている本を読むことをおすすめします。本については皆さんが読みやすい本を選んでいただくので問題ないと思いますが、ここでは参考図書として、LRMで入社して一番最初に読む本を何冊かご紹介します。

情報セキュリティ系のサイト・ニュースの閲覧を日課にする

もしかすると、セミナーに参加したり、本を読んだりする時間やコストを用意することが難しいという方もいらっしゃるかもしれません。

そういった場合には、毎日5分や10分、また1記事だけでも情報セキュリティ系のサイト・ニュースを見るのをおすすめします。

例えば、フィッシングなどは、多くの事例が報告され、また、最新の手口の情報を知っておくと、社内でアラートするようなこともできます。

「5分や10分よくわからない記事を見るだけでリテラシーが上がるの…？」と疑問に思う方もいるかもしれませんが、最近のセキュリティ系のサイトは比較的にわかりやすく書かれています。
また、わからない言葉は検索して調べるなどすると、少しずつ知識を蓄えることができます。

最低限、サイトやニュースを見ているだけでも、話題のテーマを無意識にとらえられるようになりますし、また、わからないことを調べるようになるので結果としていつの間にか普通の人より詳しくなっていたということも十分考えられます。

本サイトでも最近の流行や基本的な情報などを発信していきますので、もしよければブックマークお願いします！

その他、情報セキュリティ担当者の役割とリソース不足解消方法がわかる資料もチェックしてみてください。

まとめ

情報セキュリティ担当者は、会社の情報セキュリティ体制を維持管理する役割を担います。
外部・内部のリスクを常に把握し、安全管理策をアップデートし、組織的・技術的な体制を整えるのが業務の内容です。業務の性質上、常に最新の情報に触れ、勉強をして知識や理解をアップデートする必要のある業務といえます。

担当者の方は、弊社も提供している外部セミナーや本・ブログなどを利用し、知識のアップデートに務めるようにしてください。

また、企業・組織の情報セキュリティ対策としてISMS認証取得をお考えの方へ、ISMS認証取得までのやることがわかるToDoリストを無料で配布しています。ぜひご活用ください。