 |
||||||||||||||||||||
|
||||||||||||||||||||
| 前のページ 1 2 3 | ||||||||||||||||||||
|
||||||||||||||||||||
| 7. 情報セキュリティポリシー掲載項目の決定 | ||||||||||||||||||||
|
情報セキュリティポリシーに含まれる項目を決定する。項目例を表3に示す。
表4:情報セキュリティポリシーに含まれる項目 表4の「組織としての情報セキュリティ管理の方針」は基本ポリシーに必ず含めなければならない。また、「目的や位置付け」や「情報セキュリティマネジメントのための組織体制」は基本ポリシーと対策基準のいずれにも含めなければならない。それ以外の項目は任意であるが、最近の基本ポリシーは短めであるため、対策基準のみに含めてもよい。 |
||||||||||||||||||||
| 8. 情報セキュリティポリシーの原案作成と承認 | ||||||||||||||||||||
|
情報セキュリティポリシー掲載項目を基に原案を作成する。完成後に経営陣に承認してもらい、正式な社内規程とする。 |
||||||||||||||||||||
| 9. 従業員への周知 | ||||||||||||||||||||
|
情報セキュリティポリシーを対象の従業員に教育研修やミーティングなどの機会を設けて周知徹底する。また、誰でも必要な際に容易に閲覧可能な仕組み(イントラネット上に掲示など)としておく。 |
||||||||||||||||||||
| 10. 情報セキュリティポリシーの見直し | ||||||||||||||||||||
|
情報セキュリティポリシーは、定期的に行われる監査などを踏まえて最低でも年に1回は見直すことが望ましい。 また、社会環境の変化(技術動向の変化、法令の変化など)や組織変更が発生した際には随時見直しを行うことも必要である。 |
||||||||||||||||||||
| 最後に | ||||||||||||||||||||
|
今回は、情報セキュリティポリシーの作成・維持管理の手順を説明した。情報セキュリティポリシーの作成の際に、Webサイト上や関連書籍などに載っている情報セキュリティポリシーのサンプルを参考にされる組織が多いと思う。その場合、サンプルをほとんどカスタマイズせずに組織に適用すると、組織の実状からかけ離れた情報セキュリティポリシーになってしまう可能性があるため、今回説明した手順を適切に踏んで作成していただきたい。 次回は、完成した「情報セキュリティポリシー」に従い、「情報セキュリティ実施手順書」を作成する手順を説明する。 |
||||||||||||||||||||
|
前のページ 1 2 3 |
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
||||||||||||||||||||
-
-
連載
