情報セキュリティポリシーを整備する5つのポイント
情報セキュリティポリシーは、自社が保有する守るべき資産をすべて網羅し、考えうるリスクや実現可能な対策・対応を考えることが非常に重要です。机上の空論になってしまっていては、定める意味がありません。実際に役立つ情報セキュリティポリシーを整備する5つのポイントを解説します。
- ポイント1.守るべき資産を明確にする
- ポイント2.責任者と体制を明確に定める
- ポイント3.具体的にイメージできる内容を定める
- ポイント4.社内全員に共有する
- ポイント5.定期的にアップデートをする
ポイント1.守るべき資産を明確にする
情報セキュリティポリシーを整備する1つ目のポイントは、守るべき資産を明確にすることです。
情報セキュリティポリシーの階層における「基本方針」を決める前にすべきことのひとつです。情報資産が主ですが、一口に情報資産といっても顧客データや取引先のデータなど、企業が保有している情報にはさまざまな種類があります。何が資産だと認識しているのかについて、社内で共通の認識を持つことで、資産を守りやすくなります。
外部に漏えいしたり、抜き取られたりした場合に大きなトラブルへと発展する情報は、すべて企業が守るべき資産です。外部・内部の情報と区別せず、すべての資産を洗い出しましょう。
ポイント2.責任者と体制を明確に定める
情報セキュリティポリシーを整備する2つ目のポイントは、責任者と体制を明確に定めることです。
企業が扱う情報は、種類によって管理の役割を担っている責任者が異なります。守るべき資産を明確にしたあとは、各資産の管理者の洗い出しを行いましょう。具体的な人名を記載しても問題ありませんが、一般的には「◯◯の担当者」や「◯◯の責任者」と記述します。
責任者を定めたら、情報セキュリティポリシーの運用体制も明確にします。責任者以外にどの従業員を配置して、どのような役割を与えるのかを決定しましょう。
適切な人材を確保するほか、品質を向上させるために外部の専門家に参加を依頼することも重要です。
ポイント3.具体的にイメージできる内容を定める
情報セキュリティポリシーを整備する3つ目のポイントは、具体的にイメージできる内容を定めることです。
従業員は、定めた情報セキュリティポリシーを基に情報セキュリティ対策や有事の際の対応を行います。できる限り具体的に記述するのはもちろんのこと、運用体制を考慮しながら対応内容を決めることも重要なポイントです。
また、社内の状況も踏まえた実現可能な情報セキュリティポリシーであることも大切です。完成した情報セキュリティポリシーに目を通した従業員が、自身の役割や万が一のことが起きたときの行動をイメージしやすい内容になっているかどうかを必ず確認しましょう。
ポイント4.社内全員に共有する
情報セキュリティポリシーを整備する4つ目のポイントは、社内全員に共有することです。
情報セキュリティポリシーには、なぜ対策が必要なのかや問題が起きてしまった場合の対応など、情報セキュリティに関する方針やさまざまな情報がまとめられています。
ことが起きた際に役立つほか、情報セキュリティへの意識を高めることにも役立つのが特徴。一度は目を通しておくことで、従業員が誤った行動を選択するリスクを減らせます。
全社への共有は、資料を口頭で説明する機会を設けるのがおすすめ。各自で目を通すよう依頼した場合、確認するのを忘れてしまう従業員も少なからずいるはずです。口頭で説明すれば、全員が必ず一度は資料を確認する機会にもなります。
ポイント5.定期的にアップデートをする
情報セキュリティポリシーを整備する5つ目のポイントは、定期的にアップデートをすることです。
情報セキュリティポリシーは、社内の状況や人員配置の変更などに合わせてアップデートしていくもの。一度定めて終わりではなく、定期的に見直しすることが大切です。
サイバー攻撃やウイルス感染など、外部の脅威も日々変化していきます。常に最新の攻撃の手口を把握しておき、自社の情報セキュリティ対策が対応できているかどうかも定期的に確認しましょう。
