情報セキュリティ関連文書の整備

• 高度にネットワーク化した情報システムは、情報資産への脅威を招くなど負の側面があるが、適切な情報セキュリティ管理を行うことにより、大きな利便性を与えるものでもあることを認識する。
• 企業や組織として意思統一され、明文化した情報セキュリティポリシーを策定する。
• 企業や組織として情報資産の重要度を分類、評価して、守るべき情報資産のレベルに応じた情報セキュリティ対策を情報セキュリティポリシーに反映する。
• 情報セキュリティ対策が「いかに破られないか」という予防の視点のみならず、「破られたときはどうするか」という対応の視点も情報セキュリティポリシーに盛り込む。
• 情報セキュリティポリシーは、「計画」、「導入・運用」、「評価」、「見直し」を一つの実施サイクルとし、このサイクルを止めることなく実施していく。
• 「評価」、「見直し」の手法として、情報セキュリティ全般に関する組織監査や、ネットワークやサーバの情報セキュリティ監査を取り入れる。
• 情報セキュリティポリシーの導入に際しては、社員や職員の教育、啓発の実施方法を考慮する。

以上のような留意点に基づき、「情報セキュリティポリシーを積極的に社員や職員に普及させ支援する」、「情報セキュリティポリシーが遵守され、有効に機能しているか、業務の妨げなどになっていないかなどを日常的にモニタリングする」、「情報セキュリティ対策の評価を行い、経営幹部へ報告を行う」など、情報セキュリティポリシーの導入だけでなく継続的な運用を行うことが必要です。