情報セキュリティ実施手順書の作成と維持管理
前回は「情報セキュリティポリシー」の作成・維持管理手順を説明した。情報セキュリティポリシーには具体的な対応手順が明確に記載されているわけで はないため、情報セキュリティポリシーに従い情報セキュリティ対策として遵守すべき事項を、「情報セキュリティ実施手順書(以下、実施手順書という)」に 定める必要がある(図1)。
図1:情報セキュリティ管理に関連する文書の体系(再掲)
情報セキュリティの具体的な対応方法を知るために参照する必要な文書は実施手順書であるため、実施手順書の出来栄えが、組織の情報セキュリティ対策を適切に実施するための鍵を握る。
なお、実施手順書は、「情報セキュリティポリシー」を構成する「基本ポリシー」「対策基準」とは違い、部署や業務の数が多い企業などでは、組織全体で1つとしてではなく複数整備することとなる。
では、以降より実施手順書の作成と維持管理の手順を説明する。
1. 既存の情報セキュリティに関連する手続類の調査
情報セキュリティに関連する手続類を調査し、何を対象(業務/従業者/拠点/システムなど)として、どのような種類の手続があるといった概要を把握する。
2. 実施手順書の整備体系の検討
実施手順書と既存の関連する手続類との統合や、関連する手続類の改訂や廃止なども考慮にいれ、実施手順書の整備体系を検討する。
情報セキュリティポリシーとは異なり、実施手順書の整備体系は組織によって大きな違いがあらわれる。
実施手順書の整備体系を検討する際の切り口を表1に示す。
| 整備体系の切り口 | 補足説明 | 整備体系例 |
|---|---|---|
| 1. 従業員の役割に応じた手順 | もっとも一般的な整備体系の切り口である。従業員の役割に応じた遵守すべき事項を整理し、記載する(関連する他の実施手順書などへのリンクも含む)。 |
|
| 2. 情報セキュリティマネジメントの推進のための手順 | 情報セキュリティマネジメントの推進にあたって必要な手順を、通常1種類ずつ整備する。情報セキュリティマネジメントの推進の実務を担う機能が中心となって作成する。 |
|
| 3. 拠点別の物理的管理の手順 | 拠点によって保有する情報資産の種類や重要度、建物や室の構造などに違いがあるため、入退室手順などの物理的管理方法を変える必要がある場合に整備を検討する。 |
|
| 4. システム別の運用管理手順 | 組織がシステムを複数保有しており、その重要度、形態、設置場所、取り扱う情報などに違いがあるため、管理方法を変える必要がある場合に整備を検討する。 |
|
表1:実施手順書の体系検討の切り口
バックナンバー
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
