7. 情報セキュリティポリシー掲載項目の決定
7. 情報セキュリティポリシー掲載項目の決定
情報セキュリティポリシーに含まれる項目を決定する。項目例を表3に示す。
| 項目 | 補足説明 |
|---|---|
| 組織としての情報セキュリティ管理の方針 | 組織の理念や経営方針を踏まえて作成する。情報セキュリティポリシーに記載される他の項目と比べても組織のオリジナリティがあらわれやすい項目である。 |
| 目的や位置付け | 目的や位置付けを明確にし、関連するその他の規程類との関係性を示す。 |
| 適用範囲 | 情報セキュリティポリシーが適用される範囲が、組織が保有するすべての情報資産を対象とするのか、限られた事業所や業務だけを対象とするのかを明確にする。対象人物は、全従業員なのか正社員などの限られた人のみなのかを明確にする。 通常は、すべての情報資産と全従業員を対象とする。 |
| 用語の定義 | 情報セキュリティに関連する用語(情報セキュリティ、機密性、完全性、可用性、情報資産、脅威、脆弱性、情報セキュリティポリシー、実施手順書など)の意味を明確にする。 |
| 情報資産の重要度分類 | リスク評価の結果も踏まえ、組織の保有する情報資産の重要度の分類を定める。分類の数は3〜5位が管理しやすい。 |
| 情報セキュリティマネジメントのための組織体制 | 情報セキュリティマネジメントの最高責任者や、情報セキュリティマネジメントの推進の実務を担う機能、情報セキュリティに関連する対策の責任者などを明確にする。 |
| 従業員の役割と責任 | 情報セキュリティポリシーの適用対象の従業員は、情報セキュリティポリシーを遵守しなければならない旨を明確にしておく。 情報セキュリティ管理は本業を円滑に実施するための妨げとなる場合は、遵守されないことがある。従業員へ遵守事項を徹底し、また情報セキュリティ事件・事故などが発生した際の責任の所在を明らかするためにも、従業員の責任と役割を明確にする必要がある。 |
| 情報セキュリティ対策の要点 | 実施するすべての情報セキュリティ対策(人的対策、物理・環境的対策、システム・ネットワーク対策)の項目を整理して記載する。情報セキュリティ対策の内容が部署や業務によって異なる場合を考慮し、組織全体に共通的に適用可能な記述にする必要がある。 |
| 関連する規程類や法令など | 関連する法令としては、不正アクセス禁止法、不正競争防止法、個人情報保護法(第2回で解説)、e-文章法、電子署名法、著作権法、特許法などがある。 |
表4の「組織としての情報セキュリティ管理の方針」は基本ポリシーに必ず含めなければならない。また、「目的や位置付け」や「情報セキュリティマネ ジメントのための組織体制」は基本ポリシーと対策基準のいずれにも含めなければならない。それ以外の項目は任意であるが、最近の基本ポリシーは短めである ため、対策基準のみに含めてもよい。
8. 情報セキュリティポリシーの原案作成と承認
情報セキュリティポリシー掲載項目を基に原案を作成する。完成後に経営陣に承認してもらい、正式な社内規程とする。
9. 従業員への周知
情報セキュリティポリシーを対象の従業員に教育研修やミーティングなどの機会を設けて周知徹底する。また、誰でも必要な際に容易に閲覧可能な仕組み(イントラネット上に掲示など)としておく。
10. 情報セキュリティポリシーの見直し
情報セキュリティポリシーは、定期的に行われる監査などを踏まえて最低でも年に1回は見直すことが望ましい。
また、社会環境の変化(技術動向の変化、法令の変化など)や組織変更が発生した際には随時見直しを行うことも必要である。
最後に
今回は、情報セキュリティポリシーの作成・維持管理の手順を説明した。情報セキュリティポリシーの作成の際に、Webサイト上や関連書籍などに載っ ている情報セキュリティポリシーのサンプルを参考にされる組織が多いと思う。その場合、サンプルをほとんどカスタマイズせずに組織に適用すると、組織の実 状からかけ離れた情報セキュリティポリシーになってしまう可能性があるため、今回説明した手順を適切に踏んで作成していただきたい。
次回は、完成した「情報セキュリティポリシー」に従い、「情報セキュリティ実施手順書」を作成する手順を説明する。
バックナンバー
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
