情報セキュリティポリシーとは
情報セキュリティポリシーとは、企業の情報資産を保護するための考え方、取り組み方を明文化したものであり、遵守すべきルールを具体的に示したものです。
情報セキュリティポリシーの位置づけと構成
情報セキュリティポリシーの体系は、「基本方針」、「対策基準」、「実施手順」の3階層構造になっています(広義の情報セキュリティポリシー)。
このうち、「基本方針」、「対策基準」の2つを情報セキュリティポリシーとするのが一般的です。基本方針で定めた内容を、対策基準、実施手順と段階を追って具体化していきます。なお、基本方針をポリシー、対策基準をスタンダード、実施手順をプロシージャと呼ぶこともあります。
基本方針(ポリシー)
組織における、情報セキュリティ対策に関する基本的な考え方を示したものです。組織の経営者が「情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業が取るべき行動を社内外に宣言するものです。
対策基準(スタンダード)
「対策基準」では、基本方針で定められた情報セキュリティを確保するために「何をしなければならないか」、つまり、遵守すべき行為や判断基準、実施すべき対策を明確にします。
実施手順(プロシジャー)
「実施手順」では、「対策基準」で定めた内容を、「どのような手順に従って実施するか」について具体的に記述します。いわゆるマニュアル的な位置づけの文書であり、詳細な手順を記述します。
情報セキュリティポリシーの承認
「基本方針」や「対策基準」は、組織の最終的な意思決定者である経営層によって承認される必要があります。経営層による承認は、会社がISMS構築に真剣であることの意思表示といえます。一方、「実施手順」は、情報システム、あるいは部門ごとに作成・管理され、各部門の部門長が承認者となることが一般的です。
情報セキュリティポリシーは、それを形骸化させないためにも、組織における各自のセキュリティ上の権限と責任を、経営者の責任において規程の形で文章化することが重要です。情報セキュリティポリシーは、セキュリティ委員会が中心となって策定し、経営層が承認し、社内規程として関係者に周知し、特に対策基準は、実施手順をより明確化するための上位文書として定期的に見直しを行う必要があります。
情報セキュリティポリシーを制定することで、社員のセキュリティに対する意識を向上させ、セキュリティ上の事故を未然に防ぐことが可能となります。また、外部に対して顧客情報の取り扱いを公表し、セキュリティに対する取り組みをアピールすることで、顧客の不安を解消し対外的なイメージや信頼性の向上を図ることが可能となります。
情報セキュリティポリシーは、「策定している」だけや「持っている」だけでは何らその機能を生かすことはできません。「対策基準」に定められた内容を「実施手順」として具体化し、適切に導入し運用して初めて、意味のあるものになるのです。
情報セキュリティポリシーの策定の流れ
ISMSを適正に維持・保全するためには、PDCAサイクルを継続的に繰り返し、情報セキュリティレベルの向上を図る必要があります。PDCAのP(PLAN)は、情報セキュリティマネジメントを確立するための計画段階にあたり、その代表が情報セキュリティポリシーの策定です。
情報セキュリティポリシー策定の流れは以下の通りです。
- 組織体制の確立
- 基本方針の策定
- 守るべき情報資産を把握して分類
- 情報資産のリスク分析を行い、情報セキュリティにおける脅威と脆弱性とリスクを見極める
- リスクにどのように対応するかを決定
- 対策基準の策定
- 対策基準を明文化し周知徹底を行うとともに、(ポリシーの決定)
- 各部門や情報システム単位などで、詳細に実施手順を策定する。
まとめ
情報セキュリティポリシーを詳しく知ることで、情報資産管理の重要性についての理解が深まります。さらに詳しく知りたい方は情報セキュリティポリシーの必要性と併せてご覧ください。
日本レコードマネジメントでは、情報資産管理の専門知識と豊富な経験を活かし、お客様のニーズに合ったサービスをご提供いたします。お気軽にお問い合わせください。
本記事は、当社広報室にて発信しています。
