企業は情報セキュリティ体制を強化するために、自社の“情報セキュリティポリシー”の内容を明確にしておく必要があります。
今回は、企業が規定する情報セキュリティポリシーはどんな内容にすべきなのか、詳しく解説していきます。
情報セキュリティポリシーの概要
情報セキュリティポリシーとは、簡単に言うと“企業の情報セキュリティ強化のためのルール・方針”のことです。
つまり「情報セキュリティ対策として、このような考えでこのようなことをしています」というのを外部に伝えるためのものです。
情報セキュリティポリシーの内容は企業によって異なりますが、一般的に明記すべき内容は存在します。
以下の3つが、情報セキュリティポリシーに明記すべき主な項目です。
情報運用の方針
情報セキュリティに対する企業の考え方
運用ルール、基準の具体的な内容
情報セキュリティポリシー策定の流れ
情報セキュリティポリシーを策定する際に気を付けなくてはいけないのは、“自社のシステムに合ったルールを策定する”という点です。
例え同業種であっても、他企業が策定している情報セキュリティポリシーの内容をそのまま使うようなことがあってはいけません。
また情報セキュリティポリシーには、不正アクセスに対して自社が講じている対策を具体的に明記する必要があります。
まずは情報セキュリティポリシーにおける“基本的な方針”と“対策基準”をしっかり整理して、その後に“実施する手順”を付け足していくと良いでしょう。
情報セキュリティポリシーにおける“基本的な方針”の内容
基本的な方針とはその名の通り、自社の情報セキュリティポリシーにおける基本的な考え方のことです。
“なぜ情報セキュリティは必要なのか”、“情報運用をするためにどんな方針を採用しているのか”という基本的なことも十分に明記します。
情報セキュリティポリシーにおける“対策基準”の内容
対策基準とは、自社の情報セキュリティポリシーにおける具体的な対策について、部署別に細かいガイドラインを明記したものです。
システム開発における対策基準、サーバ運用における対策基準などを詳しく策定します。
ポイントは、先ほどの基本的な方針にしっかり基づいて策定することです。
また出来るだけ具体的な内容になるように心掛け、罰則規定に関しても明記する必要があります。
情報セキュリティポリシーにおける“実施手順”の内容
自社が講じる情報セキュリティ対策の内容を、どのような手順で行うのか詳しく明記します。
セキュリティソフトを導入する際の手順、システムが正常かどうか確認するための手順などを明確にし、様々なアクシデントに対応出来るようなルール作りを徹底します。
まとめ
情報セキュリティポリシーの内容に正解はありませんが、“顧客への安心感を与える内容”、そして“自社のシステムに沿った内容”というのは必ず意識しなくてはいけません。
情報セキュリティポリシーをしっかりと策定した後は、個人情報に関して優秀な対策が講じられている企業の証“マーク”の取得を目指しましょう。
企業が信頼を得るためには、日々自社の情報セキュリティ体制をアップデートしていくことを忘れてはいけないのです。
