関係者の役割と責任を明確にする #

脆弱性を対応するにあたり、ガイドラインを作成する立場以外にもシステム担当者や事業責任者、CISOなど様々な人物やチームが関与します。 各関係者の役割が明確でない場合、脆弱性対応時の判断に遅れが生じたり、情報共有や対応の連携に手間取る場合があります。トリアージを迅速に行えるように各関係者の役割と責任範囲を明確にしておきましょう。

役割と責任定義の例

1. CISO
CISOは、当社規程の定めに従い任命されます。CISOは、当社が開発・運用するすべてのシステムについて、リスク管理の責任を負います。インシデント対応や準備に対してかかる費用についての全決裁権を持つものとします。

2. セキュリティ統括室
セキュリティ統括室は、各事業部門のシステムで発覚した脆弱性や対応状況について、管理・監督する責任を負います。
本ガイドラインで定めた対応方針とは異なる対応を行う必要がある場合、セキュリティ統括室が判断・承認するものとします。

3. システム管理責任者
マネージャ以上の役職者とし、対象システムに応じて所管部門から選出します。
対象システムの管理業務の推進と維持管理に必要な実務全般の判断・承認の責任を負います。
システム管理責任者は、本ガイドラインに沿ってトリアージを行い、脆弱性対応を行い、結果及び対応状況をセキュリティ統括室に報告する責任を負います。

4. システム管理担当者
システム管理責任者の指示のもと、対象システムの管理業務の推進と維持管理に必要な実務作業を担当します。