情報セキュリティ方針は、会社の情報セキュリティの基本的なルールを定めるものです。
基本文書なので、具体的な行為義務を定めることはなく、こういう場合にこういうことをするべき、といった具体的な場面を想定しているものでもありません。
これから情報セキュリティ方針を策定するにはどんなことに気を付ければいいか、情報セキュリティの目的と合わせて解説します。
特に今後ISMSに定められる情報セキュリティマネジメントシステムを整える際に重要なポイントになるので、ぜひ最後までご覧ください。
また、ISMS認証取得をお考えの方へ、LRMでは認証取得に向けて必要なことをまとめたToDoリストを無料で配布しています。ぜひご覧ください。
情報セキュリティ方針とは
情報セキュリティ方針は、社長が制定する、会社の情報セキュリティに関する原則や基本的な考え方を示す文書のことです。
情報セキュリティに関する原理原則・他の規定に対して、根拠となる規定を内容としており、社長・組織の代表者が制定するところに特色があります。
情報セキュリティに関する最終責任は、社長・組織の代表者が負うべきものとされているため、社長等の代表者の名前で公表し、社会に対するコミットメント(約束)を示しています。
IPA(独立行政法人情報処理推進機構)から、情報セキュリティ方針のサンプルが公開されているので、どんな文章か気になる方は、以下ページから「付録2:情報セキュリティ基本方針」をダウンロードしてみてください。
情報セキュリティ方針はどのように決定するか
では、情報セキュリティ方針は、どのようにして決定すればよいのでしょうか。
情報セキュリティ方針を分解すると、いくつかのテーマに分けることができるため、要素を分解しながら、情報セキュリティ方針の決め方を解説します。
会社の目的に対して適切であること
会社の経営理念やビジョンに基づいた、事業の目的やゴール及び情報セキュリティの必要性などを明確する必要があります。
情報セキュリティ方針の組織のなかでの位置づけや狙いを明確にしていきます。
そのためには経営理念や経営ビジョンなどに裏づけされた会社の事業の目標、目的、ゴールや、情報セキュリティが必要な理由、事業をとりまく環境などを明確にしていくとよいでしょう。
ISMS認証にも情報セキュリティ方針を定めることは必須とされていますが、基本的に情報セキュリティ方針に必要な要素は以下の3つです。
- 情報セキュリティの目的を含むこと
- 情報セキュリティに関連する要求事項を満たすことへの約束(コミットメント)
- ISMSを継続的に改善していくことの約束(コミットメント)
「情報セキュリティの目的」とは
なぜ会社がISMSを取り組むのか、ISMSのねらいと必要性、重要性を明確にします。
情報セキュリティの目的は、情報セキュリティ方針を達成するためのものである必要があり、なおかつ文書にしてお客様や社会に対してコミットしているので、目的として宣言した情報セキュリティ体制は構築を必ず行われなければなりません。
体制の構築というと若干抽象的なのですが、ISMSに準拠して有効なマネジメントシステムを構築するためには情報セキュリティ目的は測定可能である必要があります。
適切な評価をすることで改善策を練り、PDCAサイクルをまわし、自社の体制を改善させることができるようにします。
ただし、情報セキュリティの目的の一つ一つの要素が必ずしも測定可能である必要はありません。要求事項でも実行可能な場合は少なくとも0か1かの測定が可能であると考えてよいです。
また、測定ができないものでも、遵守していればよい、というものもありますので、柔軟に考えた方が適切です。
加えて、必ずしも改善をする必要はなく、例えば金融機関の場合のように、監督官庁である金融庁がガイドラインとして要求する事項を遵守するなど、高度なセキュリティレベルを維持することを目的とすることについては、問題ありません。
そのほかに、情報セキュリティの指標には以下の点についての評価があります。
- 「機密性」(外部や無権限のものに情報を見せない・さらさないこと)
- 「完全性」(データ・情報が完全なものであること)
- 「可用性」(データ・情報が欲しい時にアクセスできること)
上記の三要素がどれくらい遵守できているかは情報資産の管理においては指標となりますが、リスクが高いものへの対応を目的として掲げることもまた問題はありません。
『情報セキュリティの目的』に記載するべき事項
では具体的に、情報セキュリティの目的には何を記載すればよいのでしょうか。
情報セキュリティの目的として書くべきポイントは以下の3つです。
- 会社の目的
- 会社の目的と情報セキュリティの関係
- 誰に向かっての文書であるとするのか
情報セキュリティの目的の要求事項には、以下のような記載があります。
6.2 情報セキュリティ目的及びそれを達成するための計画策定
組織は,関連する部門及び階層において,情報セキュリティ目的を確立しなければならない。
情報セキュリティ目的は,次の事項を満たさなければならない。
a) 情報セキュリティ方針と整合している。
b) (実行可能な場合)測定可能である。
c) 適用される情報セキュリティ要求事項,並びにリスクアセスメント及びリスク対応の結果を考慮に入れ
る。
d) 伝達する。
e) 必要に応じて,更新する。組織は,情報セキュリティ目的に関する文書化した情報を保持しなければならない。
ISO27001:6.2 情報セキュリティ目的及びそれを達成するための計画策定
組織は,情報セキュリティ目的をどのように達成するかについて計画するとき,次の事項を決定しなければならない。
f) 実施事項
g) 必要な資源
h) 責任者
i) 達成期限
j) 結果の評価方法
長々と難しそうな文章が続きますが、噛み砕いて言えば、
「情報セキュリティの目的は会社なや事業の目的である必要があるため、事業の目的を簡単に表して、織り込む必要がある。」ということになります。
例えば、売り上げを伸ばす、従業員を増やす、活動拠点を増やす…そういった事業規模の拡大に関する文言も、会社ないし事業の目的に挙げられます。
しかし、そこまで具体的にすると、なかなか情報セキュリティの目的とはつながりにくいでしょう。
次のような具体例を見てみましょう。
- 例 1
- 当社は、お客様の情報をお預かりしてコンサルティングサービスを提供していることから、情報セキュリティ体制の構築を本質的な義務の一部と考えています。
役職員一同継続的に体制の構築に取り組むことをお客様及び広く社会にお約束することことを目的として、この情報セキュリティ基本方針を制定いたします。 - 例 2
- 当社は、製品を消費者の皆様に対して広く提供しています。消費者の皆様の信頼を得ること、そして維持することが会社の重要な目的と考えています。
情報セキュリティ体制を十分に整備することは、皆様の信頼の重要な要素であることに鑑み、全社的に体制を整え継続して真摯に取り組むことを宣言する目的で、この情報セキュリティ方針を制定します。
上記の例では、
- 会社の目的
- 会社の目的と情報セキュリティの関係
- 誰に向かっての文書であるとするのか
この3つがそれぞれ織り込まれています。
情報セキュリティ方針は、会社の基本文書なので従業員に対しても向けられた文書です。
この目的の箇所、または方針内での他の箇所で従業員についての位置づけが分かるようにしておきましょう。
また、この目的に向かって従業員が行動できることが理想です。
実際は、情報セキュリティ方針に基づき、服務規程・就業規則などにより従業員の具体的な行動指針が定められます。
情報セキュリティに関連する要求事項を満たすことへの約束(コミットメント)
情報セキュリティに関連する要求事項を満たすことへの約束とは、会社の情報セキュリティマネジメントシステムが、ISO/IEC27001:2013の規格要求事項に適合していることを宣言することを指します。
ISMSの認証取得をした企業として、外部に向けて、どのような規格に適合した会社なのかを公表します。
ただし、単に「適合しています」とのみ宣言しても伝わりにくいでしょう。
情報セキュリティ関連の法令やガイドライン、契約上のセキュリティ義務をしっかり守っているという旨や、情報セキュリティの仕組みを確立し、実施し、維持し、継続的に改善しているなど、社外の人にとってもイメージしやすい表現を使うとよいでしょう。
ISMSを継続的に改善していくことの約束(コミットメント)
ISMSを継続的に改善していくことの約束とは、実際の運用で監査や見直し会議での報告事項をもとに改善策を実施し、会社の取り組みをより良い状態にすること、または維持することを宣言するものです。
このような情報セキュリティへの取り組みを継続的に改善していくことを宣言することになります。
企業によって記載方法は様々ですが、以下のような1文でどのような方法で改善を実施するのか示すことができればよいでしょう。
本方針が遵守されていることを確認するために、定期的に情報セキュリティマネジメントシステムの実施状況を評価し、継続的な改善に努めます。
情報セキュリティ目的を含むマネジメントシステムへの思い込みとは
情報セキュリティマネジメントシステムには、多くの人が「目的・目標を立てること=向上させること」という思い込みが多い人もいるのではないでしょうか。
ですが、情報セキュリティ目的を含むマネジメントシステムは「向上させること」以上に、「低下しない」ということも重要なポイントです。
情報セキュリティを高いレベルで維持することも目的のひとつです。
こうした基礎知識を知っておき、情報セキュリティ方針の目的、方針全体の作成に取り組んでみましょ
う。
まとめ
情報セキュリティの方針について解説しました。
情報セキュリティ方針は基本文書であり、会社の情報セキュリティの基本的なルールを定めるものであり、具体的な行為義務を定めるものではありません。
- 情報セキュリティの目的を含むこと
- 情報セキュリティに関連する要求事項を満たすことへの約束(コミットメント)
- ISMSを継続的に改善していくことの約束(コミットメント)
この3つの要素を含む、自社に合った情報セキュリティの方針を策定しましょう。
LRM株式会社では自社の業務ルールにマッチしたISMSの取得をサポートしています。
- 訪問回数制限なし
- 100%取得保証
- 主要文書は全て作成
という、充実したサポート体制でISMS取得をお手伝いします。
詳細はこちらよりお問い合わせください。