情報セキュリティポリシとは、組織の情報資産を守るための方針や基準を明文化したものである。効果的にセキュリティ対策を実施するためには、組織体の長による明確な方針と、リスクアセスメント結果に基づいた対策基準が必要である。ここでは情報セキュリティポリシの概要と、策定の際の留意点について解説する。
4.3.1 情報セキュリティポリシの概要
情報セキュリティポリシの基本構成
情報セキュリティポリシの構成や名称には厳密な決まりはないが、情報処理安全確保し試験における標準的な構成は、次のようになっている。
情報セキュリティ基本方針
情報セキュリティに対する組織としての統一的かつ基本的な考え方や方針を示すもので、目的、対象範囲、維持管理体制、義務、罰則などである。 なお、ISMSの管理策では、情報セキュリティ基本方針について主に次のように記している。
- 情報セキュリティのための方針群は管理層が承認・発行し、十雨業員及び外部関係者に通知すること
- 情報セキュリティのための方針群は、その有効性や適正性を維持するために、定期的にまたは重大な変化が発生した場合にレビューすること
情報セキュリティ対策基準
情報セキュリティ基本方針を実施し、適切な情報セキュリティレベルを確保・維持するための具体的な遵守事項や基準を記述する。
情報セキュリティ対策実施手順、規定類
情報セキュリティ対策基準を実施するための詳細な手順を記述する。特定の部署や情報システム固有な条件・要素などを考慮した上で必要に応じて作成する。
| 情報セキュリティポリシの構成 |
|---|
 |
情報セキュリティポリシの策定・運用による効果
情報セキュリティポリシを策定・運用することにより、期待される効果の例を次にあげる
情報セキュリティレベルの向上
すでに各種のセキュリティ対策が施されていたとしても、それぞれを結合的に管理・運用するための方針や基準がないため、十分な効果が得られないケースがあり得る。
情報セキュリティポリシによって組織の求めるセキュリティレベルを明確にし、それを目指して問題箇所を改善していくことが可能となる。
セキュリティ対策の費用対効果と向上
セキュリテイ対策に関する統一的な基準や管理体制がないために、各部署の判断でセキュリティ対策ツールや技術が導入されているにもかかわらず前者的なセキュリティレベルはたくない、と言ったケースがあり得る。リスクアセスメント結果に基づいてい情報セキュリティポリシを策定し、リスクに応じた適切なセキュリティ対策を施すことで、限られた予算で最大限の効果を得ることが可能となる。
対外的な信頼性の向上
情報セキュリティポリシを策定し、それに基づいてセキュリティ対策を適切に実施・運用することで、組織の信頼性を高めることが可能となる。
4.3.2 情報セキュリティポリシ策定のける留意事項
策定体制の整備
既存の社内きている糸の整合性を保ちつつ、自社の実情に即した効果的な情報セキュリティポリシを策定するためには、社内の関連部署から適切な人材を招集し、策定体制を整備する必要がある。情報セキュリティポリシ規定にあたり、社内から消臭するべき人材の例を次にあげる。
| 情報セキュリティポリシ策定担当者の例 |
|---|
 |
外部専門家の活用
情報セキュリティポリシの品質を高めるためには、情報セキュリティに関する他社の実情や最新技術、各種制度、関連法規、リスクマネジメントなどに関して十分な経験と専門知識をもったギブの専門家を活用するのが望ましい。 情報セキュリティポリシの策定及び情報セキュリティマネジメントの推進にあたり、活用が見込まれる外部専門家の例は以下である。
| ポリシ策定に当たって活用が見込まれる外部の専門の例 |
|---|
 |
対象とする情報資産の明確か
電子データ、紙など、ポリシが対象とする情報資産の種類や範囲を明確にする。
運用対象者の明確化
正社員、派遣社員、契約社員、協力会社社員など、策定したポリシを誰に対して適用するのかについて明確にする。
目的や罰則の明確化
ポリシの効力を高めるためには、単にルールをられるするだけではなく、その目的を明確にしておくことが重要である。また、ポリシに違反していた場合の罰則などについても、明確にしておくことが望ましい。
曖昧な表現の排除、主体の明確化
どのようにでも解釈できるような曖昧な表現は避け、「誰が」(主語)、「何をすれば良いのか」、「何をしてはいけないのか」について明確に示すことが重要である。
ポリシ運用方法の明確化
情報セキュリティポリシの周知徹底、ポリシの適切性評価・見直しなど、ポリシの運用管理方法について策定段階から十分に遣唐使、明確にしておく。
