ID:50708さん

背景： * 東証1部上場 * ISMS/Pマーク未取得 課題： * クラウドサービスを利用する際の申請が不明瞭 * 会社におけるクラウドサービスのルールがリスクマネジメントが不足している * プロジェクトによってはISMS取得クライアントとのクラウドサービス利用があるため、 * 対外的にもISMSレベルのルール策定が必要 対応： * ISO27017の理解を基にクラウドサービス利用規定と、クラウドサービス評価シートの素案作成 * 法務部とセキュリティ以外のリスクを評価、クライアントとの基本契約の見直し *総務部と他関連規定との整合性等を調整 *コーポレート会議への提案、承認までの調整 *リリース後の社内周知、運用 苦労した点： ISO27000シリーズの素養はあるものの深い理解が必要であった件 社内で専門性の高いものがいなかったため、想定したルールの正しさを 社外のリソースに一度確認する必要があった。 そのため、社内背景や文化を想定した最終案は最後まで自身で責任を持たないといけない点 法務部、総務部等別部署との調整や調整に至るまでのコミュニケーション コーポレート会議へ提案に至るまでにキーパーソンのコンセンサスをとること

背景： * 製造業（200人規模） * 上司として社内SE（前職はWebエンジニア）の方が1名 * 会社全体として属人的で社内規定が就業規定のみ * エンドユーザの個人情報を取り扱っている 課題： ##### 過去を含めて、情報システム（セキュリティ）の知見、経験がある人が在籍していた痕跡がない。 *ActiveDirectoryのグループポリシーはなく、user直下に全ユーザがいる *ADでパスワードが再設定できることを知っている人がいないため、全社員共通パスワード（上司が実施） *アクセス権もフォルダに直接設定しているため管理ができていない *ネットワーク構成図がない *局所的にIT資産管理ツールが導入されており、デバイス制御が設定されているが、前述の状態でリスク対応になっていない *個人情報のアクセス権がほとんど管理されていない 対応： 見えている課題に対しての対応（例えばADの整備）を行う前に、 会社として情報セキュリティに取り組む指針が最初に必要だと考え、情報セキュリティ基本方針を作成 情報セキュリティ基本方針実施に伴って、体制の構築 （人ではなく組織として仕事をするためと説明） ##### 上司へ情報システムとしてのノウハウ（コーポレート精神も）を共有 * 問題が起こったらすぐサーバを再起動するのではなく、切り分けましょう（トラブルシューティングの基本） * 見えた課題を解決するだけではなく、課題を洗い出して総括的な対応を検討しましょう * 対応したインシデントの記録は残しましょう * システムの導入計画を立てるときにはそのシステムをよく調べてから導入の提案をしましょう * 利用者が悪い、で終わらずに、どうすれば利用者は迷わずに対応してくれるか、制度やルールの見直しをしましょう * 情報セキュリティとはCSRひいてはコンプライアンスの一環であり、経営層としてはそのほかの制度やルールも引き上げないと企業としての価値が実感できづらいであろうこと * 一つのベンダーに依存するのではなく、ベンダーもある程度冗長性を持っておかないといけないこと * etc 現在はこの会社に在籍しています