TOP情報セキュリティ> 3. 記述のルールの検討
CSR
企業の社会的責任に必要な情報セキュリティマネジメント

第5回:情報セキュリティ実施手順書の作成・維持管理手順
 著者:みずほ情報総研   牛尾 浩平   2006/7/13
前のページ  1  2   3  次のページ
3. 記述のルールの検討

   実施手順書を作成していく際の記述のルールを決定する。1人の従業員が複数の実施手順書の対象となる場合、実施手順書によって記載事項やその詳細さなどが異なっていると、よく理解してもらえない可能性がある。

   そのため実施手順書には、以下の事項を記載することを記述のルールとしておくとよい。
  • タイトル
  • 作成部署
  • 制定日付(改訂日付)
  • 目的
  • 用語の定義
  • 対象者や実施体制
  • 各実施手順項目(情報セキュリティポリシーやその他の実施手順書との関連性、関連する様式や文書類への参照先なども含む)

表2:実施手順書の記述ルール

   また、実施手順書の記述の詳細さについては、頻繁に変更される可能性のある情報(緊急連絡網、システムの設定値など)は具体的に記載せずに、別途の参照先を明記する書き方がよい。
4. 実施手順書案の作成

   情報セキュリティポリシーと実施手順書の体系に従って関連する手続類の記載事項との整合をとりながら実施手順書案を作成する。必要であれば関連する手続類もあわせて修正する。

   表1の1、3、4などの整備体系に従った実施手順書の整備にあたっては、情報セキュリティマネジメントの推進の実務を担う機能が実施手順書の雛形を1つ作って、それをベースに必要な部署などが個別に整備する方法をお奨めする。この方法のメリットは、実施手順書の記述の標準化と記載漏れを防ぎ、効率的に実施できることである。
5. 実施手順書の承認

   完成後に、関係者に十分にレビューしてもらい、責任者が承認する。
前のページ  1  2   3  次のページ

みずほ情報総研 牛尾 浩平氏
 著者プロフィール
みずほ情報総研株式会社  システムコンサルティング部
コンサルタント   牛尾 浩平
2002年、東京大学大学院工学系研究科修了、富士総合研究所(現みずほ情報総研)に入社。次世代情報システム基盤に関するコンサルティング、ナレッジマネジメントパッケージソフト開発など様々なプロジェクトに参加した後、2003年より情報セキュリティ管理に関連するコンサルティング、監査、セキュリティポリシーの策定支援などの業務を主に実施。システム監査技術者。
INDEX
第5回:情報セキュリティ実施手順書の作成・維持管理手順
  情報セキュリティ実施手順書の作成と維持管理
3. 記述のルールの検討
  6. 従業員への周知