情報セキュリティポリシー作成
情報セキュリティポリシー作成
リスク評価などにおいて検討してきた内容を、情報セキュリティポリシーとしてまとめ、情報セキュリティマネジメント実施の礎とする。
情報セキュリティポリシーとは、組織が情報セキュリティ対策を行う上での方針であり、その中で組織としての情報セキュリティ管理の枠組みを示す。情 報セキュリティポリシーの中で、情報セキュリティマネジメントのための組織体制や、従業員の役割と責任、実施する情報セキュリティ対策の要点などを明確に する。
また、経営陣の承認を得た情報セキュリティポリシーを従業員に周知することにより、組織として遵守すべき事項を明確にし、関係する従業員に確実に伝達し、浸透させる。
ここで、情報セキュリティ管理に関連する文書の体系を図4に示す。一般的に情報セキュリティポリシーとは、情報セキュリティ管理に関連する3階層の 文章体系(上から、基本ポリシー、対策基準、実施手順書)の上位2文書を示すことが多い。ここまでがPlanフェーズの説明である。
図4:情報セキュリティ管理に関連する文書の体系
情報セキュリティ対策の実施概要
ここからDoフェーズを説明する。図3に示す3つの対策のうち、物理・環境的対策、システム・ネットワーク対策の概要を説明し、人的対策の1つとして情報セキュリティの教育について述べる。
物理・環境的対策の概要
情報セキュリティに関連する物理・環境的対策としては、建物および室の管理および記憶媒体・装置・機器類の管理がある。
建物および室の管理としては、不正侵入などを防止するために、建物や室のエリア区分に応じて表4などの対策を行う。
- 入退館(室)者の制限、記録
- 建物(室)の施錠
- 名札の着用、警備員の配置
記憶媒体・装置・機器類の管理としては、天災や火災、故障や経年劣化、破壊や盗難などを防止する対策を実施する。具体的には表5などの対策を行う。
- 緊急時の予備装置やバックアップ媒体の主事業所からの安全な距離をおいての設置
- 無停電電源装置(UPS)の設置
- ケーブル配線の損傷や傍受からの保護
- 装置・機器類の計画的な保守
- 重要な情報資産の施錠可能な金庫やキャビネットなどへの保管
- クリアデスク(机の上の整理整頓)
- 端末から離れる際には、他人が端末の操作やディスプレイの参照をすることができないようにパスワードロックを行なったり、アプリケーションを終了したりする
バックナンバー
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
