国民のための情報セキュリティサイト 国民のための情報セキュリティサイト
アニメの使い方更新履歴このサイトの利用方法サイトマップリンク集ダウンロードお問い合わせ
対策情報管理担当者情報セキュリティポリシーの導入と運用方法 トップページへ戻る
「企業・組織」の情報セキュリティ対策:情報管理担当者
ウイルスからの防御
ユーザー権限とユーザー認証の管理
パスワード管理の推奨
バックアップの推奨
ソーシャルエンジニアリングの対策
サーバーの設置と管理
機器障害への対策
ハッキングによる被害と対策
社員の不正による被害
廃棄するコンピュータやメディアからの情報漏洩
情報セキュリティポリシーの導入と運用方法
持ち運び可能なノートパソコンを利用する上での危険性と対策
持ち運び可能なメディアを利用する上での危険性と対策
ASP・SaaSを利用する際の情報セキュリティ対策
SQLインジェクションへの対策
情報セキュリティポリシーの導入と運用方法

情報セキュリティポリシー この企業・組織の情報管理担当者の対策のページでは、「ウイルスからの防御」、「ユーザー権限とユーザー認証の管理」、「パスワード管理の推奨」、「バックアップの推奨」などの内容を、企業・組織の情報管理担当者が実施しなければならない内容として記載しています。

 これらを個別に検討し、その都度ルール化したのでは、各ルール間で矛盾が発生し、企業や組織として統一のとれた情報セキュリティのレベルが保てないことがあります。それを回避するために、策定する企業や組織として統一のとれた情報セキュリティ方針のことを情報セキュリティポリシーと呼んでいます。

 情報セキュリティポリシーには、社内規定といった組織全体のルールから、どのような情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方、ならびに情報セキュリティを確保するための体制、運用規定、情報セキュリティ基本方針及び情報セキュリティ対策基準などを記載するのが一般的です。

 情報セキュリティポリシーを作成する目的は、企業の情報資産を情報セキュリティ脅威から守ることですが、その導入や運用を通して社員や職員の情報セキュリティに対する意識の向上や、顧客に対する信頼性の向上といった副次的なメリットも得られます。

 また、既に情報セキュリティポリシーを導入している企業や組織、これから導入を検討している企業や組織の情報管理担当者として、以下の点に十分留意しなければなりません。

高度にネットワーク化した情報システムは、情報資産への脅威を招くなど負の側面があるが、適切な情報セキュリティ管理を行うことにより、負の側面よりも大きな利便性を与えるものであることを認識する。
企業や組織として意思統一され、明文化した情報セキュリティポリシーを策定する。
企業や組織として情報資産の重要度を分類、評価して、守るべき情報資産のレベルに応じた情報セキュリティ対策を情報セキュリティポリシーに反映する。
情報セキュリティが「いかに破られないか」という予防の視点のみならず、「破られたときどうするか」という対策の視点も情報セキュリティポリシーに盛り込む。
情報セキュリティポリシーは、「策定」、「導入」、「運用」、「評価」、「見直し」をひとつの実施サイクルとし、このサイクルを止めることなく実施していく。
「評価」、「見直し」の手法として、情報セキュリティ全般に関する組織監査や、ネットワークサーバーの情報セキュリティ監査を取り入れる。
情報セキュリティポリシーの導入に際しては、ユーザーの教育及び啓発の実施方法を十分に考慮する。

 以上のような留意点に基づき、情報セキュリティポリシーの導入や継続的な運用を行うことが必要です。

国民のための情報セキュリティサイトトップへ