ホーム企業・組織の対策組織幹部のための情報セキュリティ対策情報セキュリティマネジメントとは > 情報セキュリティポリシーの策定


情報セキュリティポリシーの策定

  情報セキュリティポリシーを策定する際にもっとも大切なことは、担当者、体制、手順をあらかじめ検討しておくということです。また、情報セキュリティポリシーは、企業や組織の代表者が施行するものであるため、可能な限り、代表者や幹部が策定の作業自体にも関わるような体制を作ることが重要です。

策定のための体制作り

  情報セキュリティポリシーを策定し運用するには、まず責任者を明確にして、情報セキュリティポリシー策定に携わる人材を組織化することが必要になります。この組織の活動内容が情報セキュリティポリシー策定・運用の成果に大きく影響するため、企業や組織の実情や現在の社会状況に見合った情報セキュリティポリシーを策定・運用するためには、適切な人材を確保する必要があります。また、情報セキュリティポリシーの品質を高めるためには、外部のコンサルタントや法律の専門家に参加を依頼することも検討するとよいでしょう。

  ただし、外部のコンサルタントに策定の全てを依頼することはふさわしくありません。これは、組織内の者によって情報セキュリティポリシーを策定しなければ、その企業や組織に適した内容にすることが困難であるためです。できるだけアドバイザなどの形で協力してもらうようにしましょう。

策定の手順

  情報セキュリティポリシーの策定手順は、業態、組織規模、目的、予算、期間などによって大きく異なります。ここでは、代表的な策定手順を紹介します。

  1. 策定の組織決定(責任者、担当者の選出)
  2. 目的、情報資産の対象範囲、期間、役割分担などの決定
  3. 策定スケジュールの決定
  4. 基本方針の策定
  5. 情報資産の洗い出し、リスク分析とその対策
  6. 対策基準と実施内容の策定

策定時の留意事項

  効果的な情報セキュリティポリシーを策定するには、以下の点に留意する必要があります。

  • 守るべき情報資産を明確にする。
  • 対象者の範囲を明確にする。
  • できる限り具体的に記述する。
  • 社内の状況を踏まえて、実現可能な内容にする。
  • 運用や維持体制を考慮しながら策定する。
  • 形骸化を避けるために、違反時の罰則を明記する。

基本方針

ポリシーの目的
ポリシーの適用範囲
ポリシーの適用対象者
体制及び構成と役割
ポリシー文書構成
ポリシー監査
ポリシー違反発見時の対応
・・・・・・・・・・・・
対策基準 実施手順
入退出の管理基準 入退出管理マニュアル
施設内における管理 IDカード発行手順
セキュリティ教育基準 訓練手順・E-ラーニング実施手順
コンピュータウィルス対策基準 ウイルス対策ソフト導入手順
社内ネットワーク利用基準 クライアントのネットワーク設定マニュアル