情報セキュリティポリシーの導入と運用

情報セキュリティポリシーの導入と運用

  既に情報セキュリティポリシーを導入している企業や組織、これから導入を検討している企業や組織の情報管理担当者として、以下の点に十分留意しなければなりません。

  • 高度にネットワーク化した情報システムは、情報資産への脅威を招くなど負の側面があるが、適切な情報セキュリティ管理を行うことにより、大きな利便性を与えるものでもあることを認識する。
  • 情報セキュリティ対策が「いかに破られないか」という予防の視点のみならず、「破られたときどうするか」という対応の視点も情報セキュリティポリシーに盛り込む。
  • 情報セキュリティポリシーは、「計画」、「導入・運用」、「評価」、「見直し」をひとつの実施サイクルとし、このサイクルを止めることなく実施していく。
  • 「評価」、「見直し」の手法として、情報セキュリティ全般に関する組織監査や、ネットワークサーバの情報セキュリティ監査を取り入れる。

  以上のような留意点に基づき、情報セキュリティポリシーを積極的に社員や職員に普及させ支援する、情報セキュリティポリシーが遵守され、有効に機能しているか、業務の妨げなどになっていないかなどを日常的にモニタリングする、情報セキュリティ対策の評価を行い、経営幹部へ報告を行うなど、情報セキュリティポリシーの導入だけでなく継続的に運用を行うことが必要です。