30. 組織に必要な情報セキュリティポリシー策定の体制作り

多くの場合、企業における情報セキュリティ対策の最初の一歩は、情報セキュリティポリシーの策定です。情報セキュリティポリシーを策定するときには、どのようなことに気を付け、どんな手順で行うべきなのでしょうか。今回は、組織に必要な情報セキュリティポリシー策定の作り方についてご説明します。

情報セキュリティポリシーを策定する際に大切なこと

情報セキュリティポリシーとは、情報セキュリティに関する企業の行動指針のことを言います。企業における情報セキュリティ対策を考えるときには、この情報セキュリティポリシーを策定し、方針や行動指針を具体的に明らかにするべきでしょう。

なお、情報セキュリティポリシー策定の際には、事前に担当者、体制、手順を決めておくことが大切です。情報セキュリティポリシーを施行するのは、会社の代表者になりますから、代表者や役員などの経営幹部が策定作業に関わることができる体制を整えておきましょう。

情報セキュリティポリシー策定のための体制作り

情報セキュリティポリシーを策定する際には、まず策定する人を集めて、組織を作るようにしましょう。組織を作ったら責任者を明確にし、各委員が何を担当するかを決めるようにします。

委員長、副委員長、委員、事務局などの担当ごとに適切な人材を任命することにより、会社の実情や社会の状況に適した情報セキュリティポリシーの策定が可能になるでしょう。

また、質を高めるためには、弁護士など外部の専門家に協力してもらえる体制を用意することをおすすめします。ただし、会社の実情に合った情報セキュリティポリシーにするためには、外部に全てを委託するというのではなく、できるだけ社内で策定することが必要です。外部の専門家には、あくまでアドバイザーとしての関与を依頼すべきでしょう。

情報セキュリティポリシー策定の一般的な手順

情報セキュリティポリシーを策定するためには、まず情報セキュリティ委員会といった組織を立ち上げることになるでしょう。策定の組織が決まったら、目的、情報資産の対象範囲、期間、役割分担などを決めて、策定のスケジュールを定めます。

情報セキュリティポリシーを策定する際、まず決めなければならないのは基本方針です。基本方針では、情報セキュリティ対策における目標と、その目標を達成するために会社がとるべき行動を示します。基本方針が決定したら、情報資産を洗い出し、分類しましょう。その上で、どのようなリスクがあるかを分析し、リスクに応じた管理策を選びます。

リスクに関する分析と対策についての検討が終わったら、対策基準を策定します。対策基準は、組織的な情報セキュリティ対策を行うためのルールとなります。そして、そのルールをどのようにして実施するかを決めて、実施手順を定めます。

情報セキュリティポリシーを策定する際の留意事項

情報セキュリティポリシーを効果の高いものにするためには、守るべき情報資産や対象者の範囲を明確にすることが大切です。また、情報セキュリティポリシーの内容は、できるだけ具体的であるのが理想です。無理な目標を定めても意味がないですから、運用体制のことを考慮しながら、実現可能な内容を定めましょう。

さらに、情報セキュリティポリシーを形だけのものにしないためには、違反した場合の罰則を明記しておくのが有効です。罰則を設けることで、社員の情報セキュリティに対する意識を高めることが可能になります。

情報セキュリティポリシーは、企業が情報セキュリティ対策をするために、必要になるものです。組織全体で共有できるよう、実現が可能かどうか、誰が見ても分かりやすい内容になっているかといったことを、よく考えながら策定するようにしましょう。

情報漏洩対策におけるログ管理

ログ管理とは?

「ログ管理とは何?」という人から、さらに活用したい人まで、ログ管理をわかりやすく説明します。 > ログ管理とは?