国民のための情報セキュリティサイト 国民のための情報セキュリティサイト
アニメの使い方更新履歴このサイトの利用方法サイトマップリンク集ダウンロードお問い合わせ
対策組織幹部情報セキュリティポリシーの策定 トップページへ戻る
「企業・組織」の情報セキュリティ対策:組織幹部
情報セキュリティ対策の必要性
情報資産の維持管理
必要な情報セキュリティ対策
情報セキュリティポリシーの概要と目的
トップダウンによる周知・徹底
情報セキュリティポリシーの内容
情報セキュリティポリシーの策定
個人情報取扱事業者の責務
情報セキュリティポリシーの策定

 情報セキュリティポリシーを策定する場合にもっとも大切なことは、担当者、体制、手順をあらかじめ検討しておくということです。また、情報セキュリティポリシーは、企業や組織の代表者が施行するものであるため、可能な限り、代表者や幹部が策定の作業自体にも関わるような体制を作ることが重要です。

■策定の体制作り

 企業や組織の実情や現在の社会状況に見合った情報セキュリティポリシーを策定するためには、適切な人材を確保する必要があります。また、情報セキュリティポリシーの品質を高めるためには、外部のコンサルタントや法律の専門家に参加を依頼することも検討するとよいでしょう。

 ただし、外部のコンサルタントに依頼する場合には、できるだけアドバイザの形で協力してもらうことが理想的です。これは、社内の人材によって情報セキュリティポリシーを策定しなければ、その企業や組織に適した内容にすることが困難であるためです。また、情報セキュリティポリシーを策定するという行為そのものが、情報資産の確認と情報セキュリティの意識向上に非常に役立ちます。

■策定の手順

 情報セキュリティポリシーの策定手順は、業態、組織規模、目的、予算、期間などによって大きく異なります。ここでは、代表的な策定手順を紹介します。

1 策定の組織決定(責任者、担当者の選出)
2 目的、情報資産の対象範囲、期間、役割分担などの決定
3 策定スケジュールの決定
4 基本方針の策定
5 情報資産の洗い出し、リスク分析とその対策
6 対策基準と実施内容の策定

■策定時の留意事項

 効果的な情報セキュリティポリシーを策定するには、以下の点に留意する必要があります。

情報資産を明確にする。
対象者の範囲を明確にする。
できる限り具体的に記述する。
社内の状況を踏まえて、実現可能な内容にする。
運用や維持体制を考えながら策定する。
形骸化を避けるために、違反時の罰則を明記する。

国民のための情報セキュリティサイトトップへ