国民のための
サイバーセキュリティサイト
国民のための
サイバーセキュリティサイト
情報セキュリティポリシーは、運用を開始した後にも、社員や職員の要求や社会状況の変化、新たな脅威の発生などに応じて、定期的な見直しが必要です。また、見直しを行った結果、必要に応じて情報セキュリティポリシーを改訂しなければなりません。この作業を継続的に繰り返すことが、情報セキュリティ対策の向上に役立ちます。
以下のような情報セキュリティマネジメントの実施サイクル(PDCAサイクル)によって、実態に沿った内容になっているかどうかを常にチェックし、見直し、改善を図ることが大切です。
情報資産の洗い出しを行い、リスクや課題を整理し、組織や企業の状況に合った情報セキュリティ対策の方針を定めた情報セキュリティポリシーを策定する。
策定した情報セキュリティポリシーを全社員・全職員に周知し、必要に応じて集合研修などの教育を行う。社員・職員が情報セキュリティポリシーに則って行動することで、目的とする情報セキュリティレベルの維持を目指す。
情報セキュリティ上のリスクはさまざまな要因によって変化するため、常に最新の情報セキュリティ関連の情報を収集する。そして、収集した情報や現場の状況、問題点などを参考にして、現在の情報セキュリティポリシーの内容に不足している項目がないかどうかを評価する。また、遵守されているかどうかの監査も行う。
点検・評価の内容を参考にして、情報セキュリティポリシーの見直し・改善を行う。
情報セキュリティポリシーは、企業や組織の状況、新たな脅威、新しい法律の施行など、社会的な状況に応じて定期的に見直さなければなりません。上記のサイクルを継続的に実施することで、常に適切なものにしておくことが可能です。