企業や組織が多くの情報資産を持つようになった昨今、策定が不可欠となっているのが情報セキュリティポリシーです。情報セキュリティポリシーを策定し適切に運用することで、従業員の意識向上はもちろん、取引先や顧客からの信頼性も向上します。
今回は、さまざまなメリットが見込まれる情報セキュリティポリシーの策定から運用方法まで、詳しく解説していきたいと思います。
この機会に、自社のセキュリティ体制を見直したいという方には、ISMSの取得もサポートしております。ISMSを取得するメリットや、取得までの流れについては、以下の記事でまとめていますので、あわせてご覧ください。
目次
情報セキュリティポリシーとは?
情報セキュリティポリシーとは、名前のとおり情報セキュリティに関する方針や行動指針をまとめたものになります。この言葉には曖昧な部分があり、情報セキュリティに関する基本方針を簡潔にまとめてWebサイトに掲載している文書だけのことを指す場合もありますし、それとは異なり、情報セキュリティに関して定められた社内規程全体を指す場合もあります。
本記事では、Webサイトに公開されている基本方針だけではなく、情報セキュリティに関する社内規程全体を指す、広義の情報セキュリティポリシーについて掘り下げても解説していきます。
リモートワークをはじめとしたあらゆる働き方を選べるようになり、オフィス環境も多様化したことで、情報セキュリティポリシーの重要性は高まる一方です。そのため企業や組織は、情報セキュリティポリシーに基づいたセキュリティ対策が求められています。対策が遅れてしまうと、従業員が管理されていないIT機器やサービスを使用してしまう「シャドーIT」に陥る危険性もあります。
まだ策定できていないのであれば「いつかやればいい」と後回しにせず、すぐにでも着手することをおすすめします。
情報セキュリティポリシーに記載する内容は?注意すべき点は?
では、次に情報セキュリティポリシーの内容について解説していきたいと思います。情報セキュリティポリシーの、細かい内容については企業や組織によって異なりますが、一般的には「基本方針」「対策基準」「実施手順」といった3つの大まかな枠組みから構成されています。
①基本方針
基本方針には、セキュリティ対策における根本的な考えとなる基本方針・宣言を記述します。これは、情報セキュリティポリシーの中でも特に重要な階層となります。組織の代表者名も記載するため、経営陣もしっかりと内容を把握しておく必要があります。
情報セキュリティの必要性、自社が保持する情報資産の保護方針、対象とする範囲や違反時における対応などを、5~10箇条程度で簡潔に記述するといいでしょう
②PDCAサイクルの回し方に関する規程
次に、情報セキュリティに関するPDCAサイクルをどのように回すかのルールを定めましょう。これには「ISMS基本規程」「ISMSマニュアル」「マネジメントシステム規程」などの名称を付ける場合が多いです。
情報セキュリティの取り組みを行うために、ISO27001の本文の要求に基づいて、どのように計画し、どのように運用し、どのように監査を行い、どのように継続的改善をするのかという内容を記載していきます。
具体的には、ISMSの適用範囲を定めたり、情報資産目録を作成し、リスク評価をして、ルールを見直して、社員教育をして、というような内容がここに含まれます。
③情報セキュリティ対策の実施手順
ここでは、情報セキュリティ対策をどのように実施するかのルールを定めます。これには「安全管理規程」「情報セキュリティ規程」「管理策実施手順」などの名称をつける場合が多いです。
情報セキュリティの水準を高めるために、ISO27001の附属書Aに基づいて、どのようなセキュリティ対策を、どのように実施するか、という内容を記載していきます。
具体的には、入退室管理のルール、サーバーとネットワークの管理ルール、パスワードの設定ルールやウイルス対策ソフトの使用、委託先管理、事故の場合の対応、というような内容がここに含まれます。
上記のうち、一般的に公開されているのは「基本方針」で、私たちがWEBサイトで目にしているものは「基本方針」の部分であることがほとんどです。
「PDCAサイクルの回し方に関する規程」や「情報セキュリティ対策の実施手順」には社内でのセキュリティ対策に関する内容が含まれており、すべてを公開するとセキュリティ対策の情報が漏洩するリスクが高まるためです。
情報セキュリティポリシーの策定にあたり、どこから手をつければいいのか分からないという場合には、IPA(独立行政法人情報処理推進機構)が公表している「中小企業の情報セキュリティ対策ガイドライン」もぜひ参考にしてみてください。こちらでは、情報セキュリティ基本方針のひな形が、そのまま活用できる形で提供されています。特にこだわりがなければ、ひな形を活用して作成するのもいいでしょう。
記載する内容も重要ですが、保護する情報資産を明確にすること、ポリシー策定後は速やかに社内全体に周知することも忘れてはいけません。ポイントをしっかりとおさえた情報セキュリティポリシーを策定すれば、重大なセキュリティインシデントの発生を未然に防ぐ効果も期待できます。
どのように運用するのが効果的?
情報セキュリティポリシーの策定後は、いよいよ運用となります。効果的に運用するため、継続的な改善と管理は不可欠です。
では、実際にどのような点に注意をして運用するべきなのか、解説していきます。
・レビューと評価
情報セキュリティポリシーの策定後、その効果と適切性をレビューし、必要があれば改善を加えましょう。これは、セキュリティ環境の変化だけではなく新たな脅威にも対応できるよう、最低でも年に1回以上決められた頻度で行うことをおすすめします。
・改善策の策定/実施
レビューによって生まれた課題に対し、具体的な改善策を策定し、実施します。技術的な対策はもちろん、従業員の教育プログラムの見直しなども含まれます。
上記を行ったうえで、Plan(計画)→Do(実行)→Check(評価)→Action(行動)のPDCAサイクルを適用し、ポリシーを継続的に更新しましょう。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
