情報セキュリティポリシーを策定する際にもっとも大切なことは、担当者、体制、手順をあらかじめ検討しておくということです。また、情報セキュリティポリシーは、企業や組織の代表者が施行するものであるため、可能な限り、代表者や幹部が策定の作業自体にも関わるような体制を作ることが重要です。
情報セキュリティポリシーを策定し運用するには、まず責任者を明確にして、情報セキュリティポリシー策定に携わる人材を組織化することが必要になります。この組織の活動内容が情報セキュリティポリシー策定・運用の成果に大きく影響するため、企業や組織の実情や現在の社会状況に見合った情報セキュリティポリシーを策定・運用するためには、適切な人材を確保する必要があります。また、情報セキュリティポリシーの品質を高めるためには、外部のコンサルタントや法律の専門家に参加を依頼することも検討するとよいでしょう。
ただし、外部のコンサルタントに策定の全てを依頼することはふさわしくありません。これは、組織内の者によって情報セキュリティポリシーを策定しなければ、その企業や組織に適した内容にすることが困難であるためです。できるだけアドバイザなどの形で協力してもらうようにしましょう。
情報セキュリティポリシーの策定手順は、業態、組織規模、目的、予算、期間などによって大きく異なります。ここでは、代表的な策定手順を紹介します。
効果的な情報セキュリティポリシーを策定するには、以下の点に留意する必要があります。
形骸化を避けるために、違反時の罰則を明記する。
| ポリシーの目的 |
|---|
| ポリシーの適用範囲 |
| ポリシーの適用対象者 |
| 体制及び構成と役割 |
| ポリシー文書構成 |
| ポリシー監査 |
| ポリシー違反発見時の対応 |
| ・・・・・・・・・・・・ |
| 対策基準 | 実施手順 |
|---|---|
| 入退出の管理基準 | 入退出管理マニュアル |
| 施設内における管理 | IDカード発行手順 |
| セキュリティ教育基準 | 訓練手順・E-ラーニング実施手順 |
| コンピュータウィルス対策基準 | ウイルス対策ソフト導入手順 |
| 社内ネットワーク利用基準 | クライアントのネットワーク設定マニュアル |
