A.5.2 情報セキュリティの役割及び責任
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 管理策番号 | A.5.2 |
| 分類 | 組織的管理策 |
情報セキュリティの役割及び責任は、組織のニーズに従って定義し、割り当てなければならない。
組織内で情報セキュリティの実施、運用及び管理のための明確な構造を確立するため。
実施の手引き
Section titled “実施の手引き”情報セキュリティの役割及び責任の割当ては、情報セキュリティ方針に従って行う必要がある。以下の責任を定義し、割り当てることが推奨される。
- 情報及びその他の関連資産の保護
- 特定の情報セキュリティプロセスの実行
- 情報セキュリティリスクマネジメント活動、特にリスクの受容
- 情報及びその他の関連資産を使用するすべての活動
これらの責任は、必要に応じて、特定のサイト及び情報処理施設に対する追加の責任で補完する必要がある。
当社における役割分担
Section titled “当社における役割分担”| 役職名 | 役割・責任 | 担当 |
|---|---|---|
| 情報セキュリティ責任者 | 情報セキュリティに関する方針の決定および全体の最終責任を負う | 代表取締役 |
| 情報セキュリティ部門責任者 | 各業務における情報セキュリティ対策の運用管理および実施責任を負う | CTO |
| システム管理者 | 情報システムに対する技術的セキュリティ対策の設計・導入・運用 | CTO(兼務) |
| インシデント対応責任者 | インシデント発生時の影響評価、対応方針の決定および対応の指揮 | CTO |
| 個人情報保護管理者 | 個人情報保護法および関連法令の遵守責任 | 代表取締役 |
| 教育責任者 | 情報セキュリティ教育の企画・実施・記録管理 | 管理部責任者(または代表取締役) |
| 監査・点検責任者 | 情報セキュリティ関連規程および運用状況の点検・評価 | 管理部責任者(または代表取締役) |
当社における実施状況
Section titled “当社における実施状況”当社では、情報セキュリティに関する役割及び責任を上記の通り定義し、各担当者に割り当てている。少人数体制のため、一部の役割は兼務としているが、責任の所在は明確にしている。役割分担は、組織変更や人事異動が発生した場合に見直しを行う。
-
- 組織的対策