情報セキュリティポリシーの構成
情報セキュリティポリシーは、基本方針、対策基準、実施手順・運用規則の3つの要素で成り立っています。いきなり対策方法や運用規則などを決めようとすると、漏れが生じてしまい、有事の際に適切な行動が取れなくなります。必ずこの階層を意識し、まずは基本方針からしっかりと決めましょう。
基本方針
情報セキュリティポリシーを構成する要素のひとつが「基本方針」です。
なぜ情報セキュリティポリシーを決める必要があるのか、どのような方針で情報セキュリティについて考えるのかなど、企業として情報セキュリティポリシーを定める際の姿勢を示します。
宣言する内容としては、「経営者の責任」「社内体制の整備」「従業員の取り組む内容と責務」「法令及び契約上の要求事項の遵守」「違反及び事故への対応」などがあげられます。
情報セキュリティポリシーの全体を網羅して記載するのが「基本方針」です。
参考:JNSA「情報セキュリティ基本方針」
対策基準
「対策基準」では、基本方針を基に情報セキュリティ対策を実践する際の具体的な規則を記述します。
まずは、対策基準を定める目的を明記。そして、対策基準を示した資料内で使う用語の定義を記載します。あとは、情報資産の管理方法や物理的・人的・技術的な対策について漏れがないように詳細に記します。
基本方針がしっかりと定められており、情報資産の洗い出しとリスク分析などを行っておくと、対策基準を漏れなく記述することができます。
参考:新宿区情報セキュリティ対策基準
実施手順・運用規則
基本方針と対策基準を決めたあとは、「実施手順および運用規則」を定めます。
実施手順では、情報セキュリティ対策を行う際の具体的な手順を記載します。「誰が」「どのような情報を扱うとき」の手順なのかがわかるように記述しましょう。
運用規則とは、情報セキュリティに関する運用規則のことです。
例えば、情報システムには適切なパスワードをかけて不要なアクセスを防ぐ対策が必須。その場合に使用したパソコンから離れる際は、必ずロックをかけて他人が使えないようにしたり、USBメモリを使用する際はセキュリティロック機能付きのみに限定したりなどが規則として考えられます。
セキュリティを確保するためにどんな規則が必要かを考えることで、自ずと定めるべき運用規則が見えてきます。
