プラクティス2-1 サイバーセキュリティリスクに対応するための、兼任のサイバーセキュリティ管理体制の構築
背景
従業員数1,200名規模の流通業であるD社では、情報保護の観点からコンプライアンス部がセキュリティリスクを管理しているが、情報システムに対する技術的な実装が多いサイバーセキュリティ対策は、暗黙のうちにIT統括部が担当している。
IT統括部のみでサイバーセキュリティ対策全般を推進することは困難であると考えたIT統括部長は、コンプライアンス部長、またコンプライアンス担当役員でもあるCISOと相談の上、サイバーセキュリティ対策を推進するための組織横断型の委員会を立ち上げた。また、委員会には自社業務の統括部門だけでなく、子会社のコンプライアンスを担当する執行役員を招集し、組織全体のサイバーセキュリティリスクを管理することにした。
D社の実践のステップ
IT統括部長が実践したステップは下記の3点である。
①グループ子会社含め、組織のサイバーセキュリティに関係する部門・担当者を選定する
②委員会の役割や招集した部門・担当者の責任範囲を合意する
③委員会の運営を通じてサイバーセキュリティリスク管理、サイバーセキュリティ対策実施を推進する
D社の実践内容
上記のステップに則り、D社はサイバーセキュリティ委員会を立ち上げ、公開資料を参考に自社で具備すべき役割を定義した。(役割に応じた人材育成は“プラクティス3-2”参照)
