前回の記事で、情報セキュリティ方針における『会社の目的』を効果的に定める方法について言及しました。
今回は、その次のフェーズとして、『情報セキュリティの目的』について考えてみましょう。
『情報セキュリティの目的』に記載するべき内容
情報セキュリティの目的を考えていくうえでは、まず『どうして自分たちがISMSの仕組みを作って維持をしているのか?』という基本に立ち返ることが肝要です。
ISMSの仕組みを会社で構築した狙い、どういった点でISMS構築の必要性を感じたのか、自分たちにとってISMSが果たす役割などをまず整理しましょう。この段階で考えられた事項が、『情報セキュリティの目的』に記載される内容の核となっていきます。
具体的・実際的な内容を記載する
上記のような前提条件が整理できたら、次は、実際の対応と結びつけてみることが肝要です。
『情報セキュリティの事件や事故を未然に防ぎ、情報セキュリティインシデントの発生「0」を目標に活動する』などの事前的な取り組みや、『万が一情報セキュリティインシデントが発生しまった場合は、被害を最小限にするために、迅速な対応と再発防止策を立てる』などの事後的な取り組みを念頭に置いて、情報セキュリティの目的に含みをもたせると結びつけるケースが多く見られます。
従業員にとっては実施理由が不明な面倒な作業でも、実はそれが情報セキュリティの工場に有用であるといった施策も数多く存在します。
公表された文書の中に、自分たちが行っている実際の対応を盛り込むことで、情報セキュリティ上で意味のある作業であることが自覚できますし、日常業務への意識を高める効果も期待できます。
『情報セキュリティの目的』を充実させるテクニック
単に心がけることを記載するだけでもかまいませんが、誰を対象としているのかを一緒に記載することで、より中身を充実させることが可能です。
- 全従業員を対象としているのか?
- 従業員の中でも一部の職責を担う者なのか?
- 役員のみなのか?
対象を明らかにすることで、自分たちのことを記載していると自覚しつつ、その文書に向き合うことになります。