|
一般的に、情報セキュリティ対策は投資や要員の採用や再配置が必要なことも多いため、トップダウンで取り組むことが極めて重要である。
本プロジェクトでも、システム開発部門長がプロジェクトリーダーとなり、各グループリーダー3人を含めたプロジェクトチーム体制で取り組むことにした。また、定期(週に1度)ミーティングを持ち、疑問点の早期解決と進捗状況の確認を行い、審査へ向けたプロジェクト全体のスケジュールを管理した。
|
|
| 本プロジェクトのスケジュール概要は以下の通りである。 |
|
| Phase |
内容 |
期間 |
| Phase1 |
プロセスの特定 |
開発に関するプロセスを図で表し、守るべき情報資産を特定。 |
2 Weeks |
| Phase2 |
リスクアセスメント・管理 |
情報資産に係るリスクを評価し、優先順位をつけて管理策を決定。 |
2 Months |
| Phase3 |
文書作成 |
情報セキュリティ関連の手順書など、BS7799で要求される文書類の作成 |
2 Months |
| Phase4 |
ユーザー教育 |
対象社員への教育(情報セキュリティについて・新しい承認プロセスの紹介など) |
1 Day |
| Phase5 |
改善・運用期間 |
構築したISMSを実際に運用。問題点などがあれば、必要に応じて改善 |
2 Months |
| Phase6 |
第一次審査 |
BSIによる文書審査 |
1 Day |
| Phase7 |
改善・運用期間 |
審査指摘事項を修正し、運用を継続 |
2 Months |
| Phase8 |
第二次審査 |
BSIによる最終審査 |
1 Day |
|
|
|
尚、文書作成では、まず、システム運用部門が規定済みの「情報セキュリティ基本方針」や「情報セキュリティ関連手順書」を理解することから始めた。
運用部門が定義した「アクセスコントロール」や「バックアップ」に関する規定は、システム開発部門にも大きく影響してくるエリアである。
運用部門とシステム部門の責任範囲の境界が不明瞭な場合には、運用部門の責任者を交えたミーティングにて意見交換を度々行った。
システム開発部門が考えるべき情報セキュリティ対策で、特に重要なのは、システムの「開発環境」と「本番環境」の分離である。
システムの本番環境を管理しているのは運用部門であるため、この部分については念入りな打ち合わせを行った。
|
|
|
このようにして、社内で統一された「情報セキュリティマネジメントシステム」の一部を担うための、システム開発部門の役割と責任が明らかになっていった。
|
