情シスの立ち上げは何からするのか!?
企業の規模が大きくなってくると情報システム部門(情シス)の立ち上げが必要になってきます。現代においてはPCを使っての業務が一般化しており、1日のほとんどの時間をPCに向かっている人も多いと思います。近年では企業において『情報システム部は競争力の源泉』になっています。強く柔軟な情報システムを持つ企業はマーケットリーダーとして大きな利益を上げることができます。今回は情シスの立ち上げについて理想的にはこうするべきということと、現実的にはこうなるということを書いていきます。
理想的には
企業において情シスを立ち上げる時に理想的にはまず、企業の情報システムに精通している人材を採用します。その後に企業のビジネス構造と保持している情報資産を把握して、それらをどのようなレベルで、どのような手段で守るべきであるかを検討・決定します。それらを情報セキュリティポリシーとして定めます。これを行うことで企業がどの程度のセキュリティを担保するのかが明確になり、実施していく情シスの施策に一貫性が出るためです。その後に貸与PCの選定、キッティング、利用するSaaSの選定、SaaSの詳細な設定、サーバー、ネットワークの構築や運用保守となっていきます。
大まかに列挙すると下記のようになります。
ビジネス構造の理解
保有する情報資産の洗い出し
情報資産の重要度評価
セキュリティ水準の決定
情報セキュリティポリシー策定
端末管理基盤の構築
ユーザー情報管理や認証管理基盤の構築
貸与PCの調達
PCのキッティング(セキュリティソフトのインストールやエンドポイントセキュリティ対策の実施、各種暗号化対策、接続デバイスの制限なども含む)
各種情報資産へのアクセス権限の適切な付与
サーバーやネットワークの構築や運用保守(企業の情報をやり取りするネットワークの監視、制限を行うことも含みます)
ただし現実としては企業が小さいときにはセキュリティよりもビジネスを伸ばすことが優先であることが多いため、情シス担当者は存在せず、情報セキュリティポリシーもなく、貸与PCではなくBYODでの業務遂行となっていてセキュリティ対策もできていないという企業も多いと思います。
現実的には
企業における情シスの立ち上げでは上記の理想で進められないことが多いです。理由としては情シス立ち上げの際に専門人材が社内にいない、理想通りに進められるほど時間の猶予がないなどの理由があります。
情シス部門を立ち上げ、企業のセキュリティレベルを上げ、内部統制を整備する時の現実的な進め方としては、まずは上記「6.端末管理基盤の構築」を行うのが良いです。その後に「7.ユーザー情報管理や認証管理基盤の構築」「8.貸与PCの調達」を行い、企業内部で利用される全ての端末を把握することが現代のセキュリティの要になります。全ての端末を把握することでその後の対策であるユーザー情報管理や機密性の高い情報へのアクセス制御が可能になったり、どのユーザーがどのような端末で、いつどのような操作をしたのかという情報を追うことが可能になるためです。
上記を対応した後「1〜5」を順次対応して、統制の取れたハイレベルな情シスを立ち上げられます。情シスが立ち上がった後は、情報セキュリティポリシーを軸として、定期的に最新の脅威の調査、新しい働き方の提案、ビジネスをどのように情報システムで支えるかを検討して、情報セキュリティポリシーを更新し、それに基づいた施策を実施していくことが重要です。
現代の情シスにおいては多くの部分をツールの組み合わせで自動化することが可能になってきています。たとえばPCキッティングは情シスにおいて非常に時間のかかる作業の1つですが、全て自動でセットアップする仕組みを導入することで大幅に作業効率化できます。さらにネットワーク機器の操作やサーバの操作においても遠隔で運用保守ができる機器が多くあるので、そのようなものを組み合わせることでリモートでの業務も可能となります。情シス業務の定常的な作業を効率化することで、将来の打ち手の検討や実施に時間を使うことができるようになります。
情シスにおいてはいかに定常業務を効率化して、将来必要なことに対して先手を打って施策を進めるという好循環を作ることが重要です。
お問い合わせはこちら✨
情シス立ち上げをはじめ、情シスに関するお悩みの相談も承っております。少しでも興味をお持ちいただいた方は下記からお気軽にご連絡ください!
積極採用中🙌🏻
また、情シスを一緒にサポートしてくれる方を募集しています!!!興味のある方は以下のページから
いいなと思ったら応援しよう!
