セキュリティ事故が起こった話
セスぺを受験すると言った次の記事にこんなことを書くなんて、カタリだろと思われそうだが事実だ。
セキュリティ事故の対応に追われてセキュリティスペシャリストの試験勉強の時間取れないってどんなギャグやの…。
しかも、引き起こしたの自社の先輩なので、凄まじく肩身が狭い。
まぁ、試験勉強よりも、実地でプレッシャーかかりまくりの状態で対応したことの方が、100倍くらい有用な経験な気もするので、パイセンには「圧倒的成長 圧倒的感謝」しておこう。
とりあえず事故の初動対応は終わったのだけど、
(何故か自分がやった。先輩は始末書1枚書いただけだが、こっちはその10倍書類作った。元請け氏に報告書出す時、寝不足でまともにしゃべれなかった。けど先輩は黙ってた)
再発防止のために、現場のセキュリティポリシー作ることになった。
一応、ISO27001取っている会社にいるので、自社にはセキュリティポリシーがある。
それまるっと印刷して渡そうかとも一瞬思ったけど、そんなふざけたマネを出来るほどBig testyな人間ではないので、自社のから援用して作ることにした。うん、自分が。
若さゆえの暴走で僕やりますよ!はい!作ればいいんでしょ!ッ と、言ったわけではもちろん無く。
上司は別のシステム障害対応で手一杯、パイセンはパイセンだからあてにならない。残ったのは自分という流れだった。
あぁ~。午後問題でISMS関連の問題出てくんねぇかなぁ。
(ISO27001とかISMSとか、まぁこのブログを見るような人は説明不要な気がするから意味は書かない。もうちっと記事が溜まって、内容をまとめなおした時に入れよう。)
◆事故報告書の参考サイト
・情報セキュリティ事故対応ガイドブック
http://lab.iisec.ac.jp/~hiromatsu_lab/files/jiko-guidebook.pdf
◆セキュリティポリシー参考サイト
・情報セキュリティポリシー・サンプル(2002年版)
・情報セキュリティポリシー・サンプル(2016年版)