この動画は、無料公開期間を経た後、メンバーシップ限定動画になります。動画見放題のメンバーシップ(月額990円)を是非ご利用ください。
情報セキュリティの重要性は誰もが理解していますが、その危機感や実際の対策内容が人によってまちまちになってしまっては、どこかに穴ができてしまうかもしれません。
そこで、企業は自社の情報資産などを、先のリスクマネジメントなどで洗い出した後、それらを各関係者(ステークホルダー)がどのように扱うべきかなどを定めた「情報セキュリティポリシー」を策定する必要があります。次の種類に分かれます。
情報セキュリティポリシーの種類
情報セキュリティ基本方針
経営層レベルが策定する、基本的な指針やビジョンを示すための文書です。この後の具体的な文書の指針となるため、数枚程度の簡潔な文書で構成されます。
情報セキュリティ対策基準
基本方針を受けて、具体的にどのような対策をするかの大枠を定義した文書です。次の「情報セキュリティ対策実施手順」を作る際の指針となります。
情報セキュリティ対策実施手順
「対策基準」を満たすために、担当者レベルでどのような作業、操作を行うべきかを具体的に定めた手順書です。各担当者は、基本的にこの文書を元に作業を行っていくため、スキルのない社員であっても対策ができるように具体的に明記する必要があります。
情報セキュリティマネジメントシステム
情報セキュリティポリシーは、一度作ったら終わりというわけではありません。日々、業務内容や情報資産の数・種類に違いが出てきますし、時代に合わせて新しい脅威、対策方法なども変わってきます。
過去に作成した文書が、効力を失ってしまうことを「死文化」「空文化」などといいますが、この死文化を防ぐために、ポリシーは定期的に見直さなければなりません。このような、セキュリティポリシーの運用を「情報セキュリティマネジメントシステム(ISMS)」と言います。
例えば、先の情報セキュリティポリシーは、次のような有効期限が目安となっています。
基本方針 | 5年 |
対策基準 | 3年 |
実施手順 | 1年 |
この変更は、変更点などが後から分かるように「リビジョン管理」をすることが推奨されており、リビジョン番号などで管理すると良いでしょう。