情報セキュリティポリシとは
情報セキュリティポリシとは、企業や組織が保護すべき情報資産と、それを保護する理由を明示したものです。企業や組織が、情報セキュリティに対する考え方や取組みを示すために策定します。そのため、情報セキュリティポリシの策定作業は経営陣(代表取締役など)が中心となって行うべきであり、次の二つの内容を含んでいることが要求されます。
- 情報セキュリティに対する経営陣の基本方針や考え方が明確に示されていること
- 情報セキュリティのレベルを適切に維持・管理するために遵守すべきルールが具体的に示されていること
また、策定した情報セキュリティポリシは、文書化してすべての社員や従業員に配布し、組織員全員に周知徹底させることが重要です。情報セキュリティポリシを周知徹底させるためのポイントとして、次の二つの事項が挙げられます。
- 責任者や従業員を含めたすべての利用者が、情報セキュリティの脅威および懸念を認識していること
- すべての利用者が、通常の仕事のなかで組織のセキュリティ基本方針を維持することの重要性を認識していること
情報セキュリティポリシを策定し、それを実践して適切に運用管理することによって、次のような効果が期待できます。
- 体系的で合理的なセキュリティ対策を実施できる
- 組織員の情報セキュリティに対する意識を高められる
- 顧客などからの対外的な信頼度が向上する
なお、情報セキュリティ基本方針は、組織の情報セキュリティに取り組む姿勢を宣言するものなので、一般には外部からの信頼を得るために公開します。
一方、情報セキュリティ対策基準や実施手順は、具体的なセキュリティ対策や防御方法が記述されているので、外部からの攻撃の足がかりにされないように非公開にします。
情報セキュリティポリシ策定における留意事項
情報セキュリティポリシ策定のポイント
実効性のある情報セキュリティポリシを策定するには、次のようなポイントに留意します。
- 情報セキュリティポリシの対象範囲は組織全体とすること
- 組織の実情に即した情報セキュリティポリシが策定されていること
- 経営陣の承認が得られていること
- 情報セキュリティを推進する体制が構築されていること
- 組織活動を行う上で遵守すべき法令等が網羅されていること
情報セキュリティ基本方針策定のポイント
情報セキュリティ基本方針は、企業や組織の情報セキュリティに対する基本的な考え方や姿勢を明示したものです。情報セキュリティ基本方針に記載する項目の例を示します。
なお、従業員などが情報セキュリティポリシに違反した場合に備え、就業規則に基づく正式な懲戒手続を整備しておく必要があります。
具体的には、情報セキュリティポリシの中に罰則規定を盛り込み、これを従業員に周知徹底させることであり、正式な懲戒手続があることによってポリシ違反に対する抑止力が働きます。
なお、罰則規定が明文化されていない場合には、情報セキュリティポリシが形骸化したり、懲戒処分になった従業員の間で不公平感が生じたりするなどの弊害が発生することにも注意します。
情報セキュリティ対策基準策定のポイント
情報セキュリティ基本方針が理念や考え方といった抽象的な内容であるのに比べ、情報セキュリティ対策基準には個々の組織員が守るべき具体的なルール(管理策)が規定されます。情報セキュリティ対策基準に規定する管理策は、物理的セキュリティ、技術的セキュリティ、人的セキュリティ、組織的セキュリティに大別されます。
