情報セキュリティポリシー
表示
情報セキュリティポリシー(じょうほうセキュリティポリシー、information security policy)とは、企業などの組織における情報資産の情報セキュリティ対策について、総合的・体系的かつ具体的にとりまとめたもの。どのような情報資産をどのような脅威から守るのかについての基本的な考え方(基本方針)と、その基本方針で定めた情報セキュリティを確保するために遵守すべき行為や判断などの基準(対策基準)とから成る。情報セキュリティポリシーは、PDCAサイクルによって、評価・見直しをし、改善していく。省略して、単にセキュリティポリシーと呼ぶことも多い。
概要
[編集]次の3つのうち、1. と 2. を併せて情報セキュリティポリシーという。
- 情報セキュリティ基本方針(ポリシー)
- 組織における、情報セキュリティ対策に対する根本的な考え方を表すものであり、組織が、どのような情報資産を、どのような脅威から、なぜ保護しなければならないのかを明らかにし、組織の情報セキュリティに対する取組み姿勢を示すもの。
- 情報セキュリティ対策基準(スタンダード)
- 基本方針で定められた情報セキュリティを確保するために遵守すべき行為や判断などの基準。つまり基本方針を実現するために何をしなければいけないかを示すもの。
- 情報セキュリティ実施手順など(プロシージャ)
- ポリシーには含まれないものの、対策基準に定められた内容を具体的な情報システムまたは業務において、どのような手順に従って実行していくのかを示すマニュアルなど。
具体的内容
[編集]情報セキュリティポリシーの具体的内容は、次のようなものである。
- どの情報を誰にアクセスさせ、誰にアクセスさせないか。
- どの操作を誰に対して許可し、誰に許可しないか。
- ウイルスや外部からの侵入に対して、どのような防御体制を整えるか。
- それらが正常に機能していることをどのように確認し、維持管理していくか。
継続的な改善
[編集]情報セキュリティポリシーは、策定して終わるのではない。その内容を組織の情報セキュリティマネジメントシステム (ISMS) に導入し、実施し、評価・見直しをし、PDCAサイクルによって改善していく必要がある。
- 計画・目標の策定 (Plan)
- ポリシー(基本方針、対策基準、実施手順など)を策定する。
- 導入・運用 (Do)
- ポリシーを配布し、教育し、物理的・人的・技術的な措置を取る。
- 監視・見直し (Check)
- システムの監視をし、ポリシーの遵守状況の確認をする。
- 改善・処置 (Act)
- ポリシーを含むISMS全体を改善する。
制定の効果
[編集]情報セキュリティポリシーは、組織(企業)の情報セキュリティを確保することを目的とする。判断基準や、実施すべき対策などを明確にすることによって、組織構成員(社員)のセキュリティに対する意識を向上させる効果もある。
外部に対しては、次の効果がある。
- 顧客情報・個人情報の取扱いに対するポリシーを公表し、約束することによって、不安を解消する。
- 組織内のセキュリティ対策にきちんと取り組んで、セキュリティ上の事故を防ぐ。
- 取組みをアピールすることによって、対外的なイメージや信頼性の向上を図る。
セキュリティポリシーは、「制定している」・「もっている」だけではなく、実行しなければ全く意味がない。
関連項目
[編集]- サイバー犯罪
- 情報処理安全確保支援士(RISS)
- プライバシーポリシー
- 情報処理の促進に関する法律
- サイバーセキュリティ基本法
- 情報処理推進機構(IPA)
- JPCERT/CC
- 内閣サイバーセキュリティセンター(NISC)
外部リンク
[編集]- 情報セキュリティポリシーに関するガイドライン - ウェイバックマシン(2000年12月6日アーカイブ分) 内閣 情報セキュリティ対策推進会議決定(平成12年)- 内閣が各省庁に宛てたものであるが、民間でも使える。