企業などの組織が実施する、情報セキュリティ対策の方針や行動指針を“情報セキュリティポリシー”といいます。
ほとんどの企業は、自社ページなどにおいて策定した情報セキュリティポリシーの内容を公開しています。
今回は、こちらの概要や目的とあわせて、内容や策定、見直し方法などについて解説しましょう。
情報セキュリティポリシーの概要、目的
情報セキュリティポリシーには、社内規定など組織全体のルールから、どのような情報資産を保護するのかといった基本的な考え方、情報セキュリティ体制を堅固にするための体制などの詳細が記載されています。
また、企業などの組織が情報セキュリティポリシーの目的には、主に以下の3つが挙げられます。
・情報資産を保護するため
・役員や従業員等の情報セキュリティに対する意識を向上させるため
・取引先の顧客からの信頼性を向上させるため
情報セキュリティポリシーの内容
情報セキュリティポリシーの内容は、以下の3つの階層で構成されるのが一般的です。
・基本方針
・対策基準
・実施手順
基本方針
企業などの組織の上層部による、なぜ情報セキュリティが必要なのか、どのような方針で情報セキュリティを保護するのか、あるいは顧客の個人情報をどのような方針で取り扱うのかといった宣言を指します。
対策基準
前述の基本方針を実践するための、具体的な情報セキュリティ対策における規則を指します。
実施手順
それぞれの対策基準ごとに、実施すべきセキュリティ対策の内容をより具体的に手順として記載します。
情報セキュリティポリシーの策定
情報セキュリティポリシーを策定するには、まず責任者を明確にし、策定に携わる人材を組織化しなければいけません。
また、情報セキュリティポリシーをより高品質のものにするためには、コンサルタントへの依頼など、アウトソーシングを導入することも検討します。
ただし、コンサルタントに策定を丸投げすることは、企業などの組織にとって良くありません。
あくまで組織内の人物を中心に策定しなければ、その企業や組織に適した内容にするのが難しいからです。
ちなみに、情報セキュリティポリシー策定の一般的な手順は以下の通りです。
・策定の組織構成(責任者や担当者の選出)
・目的、情報資産の範囲調査、期間、役割分担などの設定
・策定スケジュールの設定
・基本方針の策定
・情報資産の洗い出し、リスク分析、対策設定
・対策基準、実施内容の策定
・従業員、関連企業等への周知
情報セキュリティポリシーの見直し
企業などの組織における情報セキュリティポリシーは、一度策定ものが未来永劫継続して適用されるわけではありません。
運用開始後も、従業員の要求や社会状況の変化、新しい脅威の登場などに応じて、定期的に見直しを行う必要があります。
また、見直しをした結果、必要であれば適宜改訂しなければいけません。
こちらの作業を定期的に繰り返すことが、企業や組織における堅固な情報セキュリティ体制の構築につながります。
情報セキュリティポリシーの効果をより高めるためには?
情報セキュリティポリシーの内容が適切なものであっても、上層部や従業員への周知や教育を行わなければ、効果は発揮できません。
もちろん、単に分厚い資料を手渡したり、形式だけの方針や指針を言葉で伝えたりするだけでは、周知や教育を行ったことにはならないため、注意しましょう。
以下の方法を実践すれば、全従業員が情報セキュリティポリシーの内容を理解し、そちらに則って行動してもらえる可能性が高いです。
・情報セキュリティに関する同意書へのサインを求める
・違反時の規定を設ける
・情報セキュリティ診断システムなどを利用し、導入済みの対策や情報セキュリティポリシーの浸透具合を確認する など
また、教育に関しては、研修という形で従業員全員を集合させ、情報セキュリティポリシーを遵守することの重要性、遵守しなかった際の組織、各従業員における損失などを伝える必要があります。
情報セキュリティポリシーの活用方法
情報セキュリティポリシーを活用する主な場面は、実際企業や組織において情報セキュリティ事故が発生したときです。
この場合は、情報セキュリティポリシーに記載されている対応方法に沿って、適切かつスピーディーな処理を行うことで、被害や損失を最小限に抑えられます。
例えば、企業のネットワークにおいて、不正アクセスが発生した場合の一般的な対応手順は以下の通りです。
・事故の検知
・事故の初動処理
・事故の分析
・復旧作業
・再発防止等の実施
企業などの組織は、情報セキュリティポリシーを活用し、これら一連の処理をするため、常に状況を判断できるような情報伝達の手順、ルールを確立しておかなければいけません。
まとめ
ここまで、情報セキュリティポリシーに関するあらゆることを解説しましたが、いかがでしたでしょうか?
情報セキュリティポリシーは、形だけ整っていれば良いというものではありません。
組織内部におけるすべての人物が内容を理解し、なおかつトラブルが発生した際に活用できるものでなければ、策定しても意味がないことを理解しましょう
