TOP情報セキュリティ> はじめに
CSR
企業の社会的責任に必要な情報セキュリティマネジメント

第4回:情報セキュリティポリシーの作成・維持管理手順
著者:みずほ情報総研   牛尾 浩平   2006/6/29
1   2  3  次のページ
はじめに

   今回以降は、情報セキュリティマネジメントをテーマ別に詳しく説明していく。今回と次回で、「第3回:情報セキュリティマネジメントの概要と実施のポイント」で示した情報セキュリティの人的対策としての「情報セキュリティに関連する文書」を作成し維持管理する手順を説明する。今回は、「情報セキュリティポリシー」について説明し、次回は「情報セキュリティ実施手順書」について説明する。
情報セキュリティポリシーの作成と維持管理

   第3回にも示したが、「基本ポリシー」「対策基準」により構成される情報セキュリティポリシーとは組織が情報セキュリティ対策を行なう上での方針であり、組織としての情報セキュリティ管理の枠組みを示すものである(図1)。

情報セキュリティ管理に関連する文書の体系
図1:情報セキュリティ管理に関連する文書の体系(再掲)

   では以下より、情報セキュリティポリシーの作成と維持管理の手順を説明する。


1. 経営者の理念と戦略の確認

   まずは組織の理念や経営方針を組織のトップや経営陣に確認し、それらを踏まえて組織としての情報セキュリティ管理の方針を明確にする。情報セキュリティマネジメントへの組織のトップや経営陣の関与は必須で、その姿勢や考え方が情報セキュリティ管理の方針として、情報セキュリティポリシーに示される必要がある。


2. 情報資産の棚卸

   組織が保有する情報や情報処理設備に関連する資産の棚卸を行う。後のステップで、情報セキュリティポリシーの適用範囲や情報資産の重要度分類などを決める際に考慮漏れがないようにするためである。


3. 現状調査

   情報や情報システムを業務実施の上でどのように取り扱っているかを確認する。現状調査を適切に実施しない場合、情報セキュリティポリシーの作成時に組織の実状を考慮に入れられず、実状とまったく異なる情報セキュリティポリシーができあがってしまい、従業員に遵守してもらえなくなる可能性がある。

1   2  3  次のページ


みずほ情報総研 牛尾 浩平氏
著者プロフィール
みずほ情報総研株式会社  システムコンサルティング部
コンサルタント   牛尾 浩平

2002年、東京大学大学院工学系研究科修了、富士総合研究所(現みずほ情報総研)に入社。次世代情報システム基盤に関するコンサルティング、ナレッジマネジメントパッケージソフト開発など様々なプロジェクトに参加した後、2003年より情報セキュリティ管理に関連するコンサルティング、監査、セキュリティポリシーの策定支援などの業務を主に実施。システム監査技術者。

INDEX
第4回:情報セキュリティポリシーの作成・維持管理手順
はじめに
  4. リスク評価
  7. 情報セキュリティポリシー掲載項目の決定