情報セキュリティポリシーには、企業や組織の情報資産(顧客情報・機密情報・社員の個人情報)を内外の様々な脅威からどのように保護するのかといった基本的な考え方や、情報セキュリティを確保するための体制、運用規定などを具体的に記載するのが一般的です。
以下、総務省の「国民のための情報セキュリティサイト」の内容をまとめます。
※参照URL: http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/04-2.html |
情報セキュリティポリシーの構成は以下の3つです。
1.基本方針
組織や企業の代表者が「なぜ情報セキュリティが必要なのか」、「どのような方針で情報セキュリティを考えるのか」、「顧客情報はどのような方針で取り扱うのか」といったことを宣言するものです。
2.対策基準
実際に情報セキュリティ対策の一般的な規定を記述します。
3.実施手順
それぞれの対策基準ごとに、実施すべき情報セキュリティ対策の内容を具体的に記載します。
情報セキュリティポリシーを策定し運用するには、まず責任者を明確にして、策定に携わる人材を組織化することが必要になります。また、情報セキュリティポリシーの品質を高めるためには、外部のコンサルタントや法律の専門家に参加を依頼することも検討するとよいでしょう。
情報セキュリティポリシーの策定手順は、業態、組織規模、目的、予算、期間などによって大きく異なります。代表的な手順を以下に示します。
1.策定の組織決定(責任者、担当者の選出)
2.目的、情報資産の対象範囲、期間、役割分担などの決定
3.策定スケジュールの決定
4.基本方針の策定
5.情報資産の洗い出し、リスク分析とその対策
6.対策基準と実施内容の策定
上記のような手順で状況セキュリティポリシーを策定する際には以下の点に注意しましょう。
1.守るべき情報資産を明確にする。
2.対象者の範囲を明確にする。
3.できる限り具体的に記述する。
4.社内の状況を踏まえて、実現可能な内容にする。
5.運用や維持体制を考慮しながら策定する。
6.形骸化を避けるために、違反時の罰則を明記する。
以上のような手順・内容で情報セキュリティポリシーを策定していきますが、重要なのはこれが形骸化しないことです。
そのため、PDCAサイクルを回すことで、常に現状にあった状態を維持し、しっかりと運用できる社内体制を整えることが非常に重要になります。
情報資産は物理的な資産のように形はないですが、今では重要な資産です。一度漏洩や改ざん等にさらされると、損害賠償だけでなく、社会的信用の低下などの間接的な損害も被ることになります。
そういった意識を持って情報セキュリティポリシーを策定・運用することが重要です。