TOP情報セキュリティ> 情報セキュリティポリシー作成
CSR
企業の社会的責任に必要な情報セキュリティマネジメント

第3回:情報セキュリティマネジメントの概要と実施のポイント
 著者:みずほ情報総研   牛尾 浩平   2006/6/15
前のページ  1  2  3   4  次のページ
情報セキュリティポリシー作成

   リスク評価などにおいて検討してきた内容を、情報セキュリティポリシーとしてまとめ、情報セキュリティマネジメント実施の礎とする。

   情報セキュリティポリシーとは、組織が情報セキュリティ対策を行う上での方針であり、その中で組織としての情報セキュリティ管理の枠組みを示す。情報セキュリティポリシーの中で、情報セキュリティマネジメントのための組織体制や、従業員の役割と責任、実施する情報セキュリティ対策の要点などを明確にする。

   また、経営陣の承認を得た情報セキュリティポリシーを従業員に周知することにより、組織として遵守すべき事項を明確にし、関係する従業員に確実に伝達し、浸透させる。

   ここで、情報セキュリティ管理に関連する文書の体系を図4に示す。一般的に情報セキュリティポリシーとは、情報セキュリティ管理に関連する3階層の文章体系(上から、基本ポリシー、対策基準、実施手順書)の上位2文書を示すことが多い。ここまでがPlanフェーズの説明である。

情報セキュリティ管理に関連する文書の体系
図4:情報セキュリティ管理に関連する文書の体系
情報セキュリティ対策の実施概要

   ここからDoフェーズを説明する。図3に示す3つの対策のうち、物理・環境的対策、システム・ネットワーク対策の概要を説明し、人的対策の1つとして情報セキュリティの教育について述べる。
物理・環境的対策の概要

   情報セキュリティに関連する物理・環境的対策としては、建物および室の管理および記憶媒体・装置・機器類の管理がある。

   建物および室の管理としては、不正侵入などを防止するために、建物や室のエリア区分に応じて表4などの対策を行う。

  • 入退館(室)者の制限、記録
  • 建物(室)の施錠
  • 名札の着用、警備員の配置

表4:建物および室の管理対策の例

   記憶媒体・装置・機器類の管理としては、天災や火災、故障や経年劣化、破壊や盗難などを防止する対策を実施する。具体的には表5などの対策を行う。

  • 緊急時の予備装置やバックアップ媒体の主事業所からの安全な距離をおいての設置
  • 無停電電源装置(UPS)の設置
  • ケーブル配線の損傷や傍受からの保護
  • 装置・機器類の計画的な保守
  • 重要な情報資産の施錠可能な金庫やキャビネットなどへの保管
  • クリアデスク(机の上の整理整頓)
  • 端末から離れる際には、他人が端末の操作やディスプレイの参照をすることができないようにパスワードロックを行なったり、アプリケーションを終了したりする

表5:記憶媒体・装置・機器類の管理対策の例
前のページ  1  2  3   4  次のページ

みずほ情報総研 牛尾 浩平氏
 著者プロフィール
みずほ情報総研株式会社  システムコンサルティング部
コンサルタント   牛尾 浩平
2002年、東京大学大学院工学系研究科修了、富士総合研究所(現みずほ情報総研)に入社。次世代情報システム基盤に関するコンサルティング、ナレッジマネジメントパッケージソフト開発など様々なプロジェクトに参加した後、2003年より情報セキュリティ管理に関連するコンサルティング、監査、セキュリティポリシーの策定支援などの業務を主に実施。システム監査技術者。
INDEX
第3回:情報セキュリティマネジメントの概要と実施のポイント
  情報セキュリティマネジメントとは
  リスク評価
情報セキュリティポリシー作成
  システム・ネットワーク対策の概要