情報セキュリティポリシーとして定めておきたいガイドライン例
全社員が利用するネットワークやサーバーの運用など、決めておかなければならない情報セキュリティポリシーがいくつか存在します。企業はどのようなガイドラインを用意するべきなのでしょうか。情報セキュリティポリシーとして定めておきたいガイドラインの例をご紹介します。
ネットワーク利用ガイドライン
「ネットワーク利用ガイドライン」とは、自社システムやサイトの利用に関する事項をまとめたガイドラインのことです。どんな目的でシステムやサイトが運営されているのか、そしてその目的にそぐわない利用方法として、どんな使い方が禁止されているのかなどを記述します。
利用上の遵守事項や最低限守るべきルールに加えて、法律上の義務も記載しましょう。ネットワークを利用するのが従業員だけだからといって、個人の良識にすべての判断を委ねるとインシデントに繋がりかねません。
情報漏えいやサーバー攻撃などのトラブルを避けるためにも、多くの従業員が利用するネットワークの利用ガイドラインはきちんと設けておき、必ず周知させましょう。
システム開発ガイドライン
「システム開発ガイドライン」は、新たなシステムの構築や既存システムの拡張・改善作業を行う際の参考となるガイドラインのことです。システム開発ガイドラインを定めておくことで、品質・費用・納期の確保が可能になり、信頼性や安全性の高いシステム開発が期待できます。
システム開発ガイドラインには、プロジェクトにおけるシステム開発のフローの図やシステムの要件定義やその実施者を記載します。プロジェクト規模にもよりますがガイドラインに記述する情報量は非常に多く、また作業工程に応じて段階的にガイドラインが書かれた資料の作成が求められます。
サーバー運用ガイドライン
「サーバー運用ガイドライン」は、サーバーの運用・管理に関する必要事項をまとめたガイドラインです。
例えば、社内のファイルサーバーは多くの従業員が利用します。新たなフォルダを作成したり、ファイルを格納したりと、さまざまな方が作業を行います。その際に運用ガイドラインが決まっていないと、適切な書類管理ができず、書類を探す作業に時間がかかってしまうことが考えられます。
サーバー運用ガイドラインで記述するべき項目は、ファイル名の表記ルールとサーバー肥大化を防ぐためのルール、そしてアクセス権限を限定するなどのセキュリティ対策です。
テレワークセキュリティガイドライン
「テレワークセキュリティガイドライン」は、企業や組織がテレワークを導入する際の情報セキュリティ対策の指針となるガイドラインです。
情報通信技術の進歩により、インターネット環境とそれにアクセスできる端末があれば、オフィス以外の場所でもさまざまな仕事ができるようになりました。テレワークの導入は、移動時間の節約や通勤ストレスからの解放など、さまざまなメリットがあります。
ただ一方で、オフィスネットワークを経由せずにインターネットを利用するため、セキュリティ対策が万全ではなくなってしまうというデメリットもあります。そうしたテレワークにおける情報セキュリティのリスクを軽減するための参考資料が、テレワークガイドラインです。
参考:総務省「テレワークセキュリティガイドライン(第5版)」
