情報セキュリティマネジメント(2)
情報セキュリティポリシ
情報セキュリティポリシ概要
組織全体で統一のとれた情報セキュリティ対策を実施するために、技術的対策、システムの利用面・運用面、組織の体制面等を明確にしたもの。どのように守るか対策を立てる
情報セキュリティポリシは、大きく分けて「基本方針」「対策基準」「実施手順」で構成される。通常は「基本方針」「対策基準」の2つを指して情報セキュリティポリシと称する
| 名称 | 説明 |
|---|---|
| 基本方針 | 情報資産を脅威から守るための姿勢を明確にし、組織全体でセキュリティに対する取り組みを示す |
| 対策基準 | 基本方針に基づいた、ルールや判断基準、セキュリティ対策の確保といった行動を示す |
| 実施手順 | 通常の情報セキュリティポリシには含まれないが、実施手順の策定により対策基準に基づいた個々の行動を具体化する |
情報セキュリティポリシの策定
基本理念および目的
会社が情報セキュリティに取り組む姿勢を表明する
経営層を頂点とする全社横断的なトップダウン管理体制を構築する
情報セキュリティポリシの役割と位置づけ
このポリシは何であり、どのような役割を持っているのかを記載する
情報セキュリティポリシの見直しと改訂
定期的に見直しと改訂を行う
法令等の遵守
関連法令等を遵守する
適用対象範囲
守るべき対象は何で、関係する人は誰であるかを規定する。
外部の専門家の活用
品質を高めるために、情報セキュリティに関する他社の実情、最新技術、各種制度、関連法規、リスクマネジメントなどに関して十分な経験と専門知識を持った外部の専門家を活用する
評価
情報セキュリティの取り組みを、継続的、持続的なものとするために、定期的またはセキュリティ事件・事 故等の発生状況に応じて自己点検及び情報セキュリティ監査を行う
罰則の明確化
会社の情報セキュリティポリシや関係規則に違反した場合の罰則があることを明確にする
あいまいな表現の排除、主体の明確化
ポリシ運用方法の明確化
具体的な実行方法が示されていないと、実際の現場における解釈がことなり、本来のセキュリティポリシと合致しない対策が行われる恐れがある
