ホーム企業・組織の対策情報管理担当者の情報セキュリティ対策 > 情報セキュリティポリシーの導入と運用


情報セキュリティポリシーの導入と運用

  既に情報セキュリティポリシーを導入している企業や組織、これから導入を検討している企業や組織の情報管理担当者として、以下の点に十分留意しなければなりません。

  • 高度にネットワーク化した情報システムは、情報資産への脅威を招くなど負の側面があるが、適切な情報セキュリティ管理を行うことにより、大きな利便性を与えるものでもあることを認識する。
  • 企業や組織として意思統一され、明文化した情報セキュリティポリシーを策定する。
  • 企業や組織として情報資産の重要度を分類、評価して、守るべき情報資産のレベルに応じた情報セキュリティ対策を情報セキュリティポリシーに反映する。
  • 情報セキュリティ対策が「いかに破られないか」という予防の視点のみならず、「破られたときどうするか」という対応の視点も情報セキュリティポリシーに盛り込む。
  • 情報セキュリティポリシーは、「計画」、「導入・運用」、「評価」、「見直し」をひとつの実施サイクルとし、このサイクルを止めることなく実施していく。
  • 「評価」、「見直し」の手法として、情報セキュリティ全般に関する組織監査や、ネットワークサーバの情報セキュリティ監査を取り入れる。
  • 情報セキュリティポリシーの導入に際しては、社員や職員の教育、啓発の実施方法を十分に考慮する。

  以上のような留意点に基づき、情報セキュリティポリシーを積極的に社員や職員に普及させ支援する、情報セキュリティポリシーが遵守され、有効に機能しているか、業務の妨げなどになっていないかなどを日常的にモニタリングする、情報セキュリティ対策の評価を行い、経営幹部へ報告を行うなど、情報セキュリティポリシーの導入だけでなく継続的に運用を行うことが必要です。