「情報セキュリティポリシー」は、情報セキュリティに関する指針・方針をまとめたもので、特に情報セキュリティを重視する大企業との取引の際などには必須となります。
ただ、そうは言っても、どんな内容でどうやって作ればいいのか、不安な方も多いのではないでしょうか。
この記事では、情報セキュリティポリシーの基礎知識から作成のための考え方まで解説します。
情報セキュリティ担当者は、ぜひ参考にしてみてください。
また、情報セキュリティポリシーの策定・運用のポイントのほかにサンプルも付いた資料を無料で配布しています。無料でダウンロードできますので、ぜひご活用ください。
情報セキュリティポリシーとは
情報セキュリティポリシーとは、企業や組織が情報セキュリティを一定にするための全体的な指針や方針を定めたルールのことです。
具体的には、情報セキュリティ(情報の安全)+ポリシー(指針)であり「情報を安全に守るために何をするのか」ということを記載します。
情報セキュリティポリシーの目的
情報セキュリティポリシーの目的は、企業の情報セキュリティの指針を明文化し、企業の情報資産を情報セキュリティの脅威から守ることです。
より詳細な内容については、総務省が公開している「国民のための情報セキュリティサイト」に記載されています。
情報セキュリティポリシーの必要性
情報セキュリティポリシーを策定していない場合、下記のようなリスクが想定されます。
- 情報の管理がずさんになる
- 情報漏えいのリスクが高まる
- 情報機器が適切に管理されない
- セキュリテイ事故発生時に適切な対応が取れない
情報セキュリティポリシーは、企業・組織が情報セキュリティ対策を実施する指針であるため、それが無いままでは、何を目指してどんな対応をすればよいのかが曖昧になってしまいます。
従業員は情報セキュリティ対策への解像度が低く、セキュリティ意識が低いままです。
また、大手企業や官公庁との取引の際には情報セキュリティポリシーがしっかり取り決められていることが必須になります。
情報セキュリティポリシーの内容
情報セキュリティポリシーに含めるべき内容は、一見、難解に感じられますが、内容を1つ1つ分解していくと、わかりやすくなります。
では、具体的に情報セキュリティポリシーにはどのような内容を含むべきなのか、詳しく解説します。
基本方針
「基本方針」には、自組織における情報セキュリティ全体の方針や理念、サイバーセキュリティの必要性、情報資産を守るための方針といった基本的な考え方を記載します。
基本方針はホームページなどに掲載され、第三者でも見ることができるようにするケースが多いので、経営者自らが情報セキュリティマネジメントに関与し、「企業の信用を保持することの宣言」という意味も持ち合わせています。
対策基準
「対策基準」は、部署やシステム別にガイドラインを記載し、先ほどの基本方針を守るために、どんなセキュリティ対策を実施するのかを明示します。
基本方針に従って、ガイドラインに情報セキュリティ保護策や基準を盛り込み、より踏み込んだ内容が求められ、正しく対策が実施できなかった場合の罰則規定まで記載します。
実施手順
ここでは、実際の業務や作業フローにおいて、情報セキュリティを保つために必要な方策を記述します。
セキュリティ担当者と、各部署の従業員が実施すべき個別のオペレーションを定めます。
「セキュリティ対策ソフトの導入方法」「不正なアクセスが無いかログを確認する方法」など業務の具体的な内容まで記載しましょう。
情報セキュリティポリシー策定の具体的な手順
情報セキュリティポリシーの策定は、下記の手順で実施します。
- ポリシー策定の組織・体制の確立
- 目的・対象範囲・期間・役割分担の決定
- 策定スケジュールの決定
- 基本方針の策定
- 情報資産の洗い出し・リスク分析と対策
- 対策基準と実施内容の決定
誰がやるかを決め、そこから、何のために、いつ、何をどのようにやるかを徐々に明確に具体化していくような流れです。
業態、組織規模、目的、予算、期間などによっても変わってきますので、上記を参考に、臨機応変に自社に合った流れを検討してください。
情報セキュリティポリシー作成のポイント
情報セキュリティポリシーを作成するときのポイントは以下の4つです。
- 専任チームを編成するなど作成体制を作る
- 情報資産の明確化
- 適用対象者の範囲決定
- 具体的な規定
これらのどれかが1つでも欠けると、セキュリティポリシーは機能しにくくなってしまいます。
それでは1つずつこれらのポイントについて解説します。
専任チームを編成するなど作成体制を作る
情報セキュリティポリシーを策定し、運用するために、まずは責任者を明確にし、それから策定・運用に携わる人材を組織化する必要があります。
ポリシー策定・運用でしっかり成果を出すために責任や役割の所在を明確にし、主体的に動いていく必要があるためです。
ポリシー策定には専門的な知識も必要になるので、外部コンサルタントや専門家に協力してもらうことも検討しましょう。
ただし、ポリシーはあくまで企業・組織の活動を円滑に進めるためのものであるため、なるべく自組織の代表者や幹部が策定にかかわる態勢づくりが望ましいです。
情報資産の明確化
情報セキュリティポリシーにおいて、守るべき情報資産の定義は重要なものです。
守るべき対象がわからなければ、それを「誰が責任を取るのか」「具体的にどんな対策をするのか」につなげることができず、正しいセキュリティ対策ができません。
守るべき資産範囲を具体的に決めることで、各セキュリティ対策が機能を発揮できます。
適用対象者の範囲決定
適用対象者は、原則として自社従業員全員です。
自社従業員以外にも協力会社や子会社の人員も必要に応じて対象者の範囲に入れましょう。
また、対象者の役職や地位によって適用範囲が異なる場合はその旨を併記しておきます。
条件によって範囲が異なる場合は、文面だけでは伝えづらいため、図表を用いて整理するとわかりやすくなります。
具体的な規定
情報セキュリティポリシーが曖昧だと、形骸化(中身のない形だけのもの)してしまうことは免れません。適用基準が明確にできるよう、内容はできる限り具体的に作成しましょう。
例えば、パスワードの設定方法などは「最低10桁以上」「英字・数字・記号を各1字以上含む」など、具体的な施策がイメージできるように規定を定めることが重要です。
情報セキュリティポリシーの策定・運用のポイントをサンプル付きで学べる資料を無料で配布しています。ぜひご活用ください。
情報セキュリティポリシーの運用方法
ここまで、情報セキュリティポリシーについて解説しました。
「より具体的に」「より適用するものや範囲は明確に」記載することが重要だということが伝わったと思います。
また、情報セキュリティポリシーは1度作ってしまえば終わりというわけではありません。
技術が進歩することにより、不正アクセスの方法は変わりますし、手口も巧妙化していきます。
それに合わせて情報セキュリティポリシーも、PDCAサイクルを回しながら改善を繰り返し、最新の情報に更新していく運用が求められます。
例えば、コロナ禍で多くの企業がテレワークを導入を余儀なくされ、社用PCの持ち出しなどのルールを踏まえて情報セキュリティポリシーを策定・改変したようなことが挙げられます。
このように時代に合わせたセキュリティポリシーの策定が求められるといってよいでしょう。
情報セキュリティポリシー策定のメリット
情報セキュリティポリシーを策定することで、以下のようなメリットが得られます。
- セキュリティインシデントの発生を防止できる
- 外部からのサイバー攻撃といった脅威から情報を安全に保護できる
- 取引先に対して、安心感を与えることができる
こうした事態に備えることができる、というのは情報セキュリティポリシー策定の最大のメリットでもあり、存在意義であるといえます。
その他にも、セキュリティのために何をするべきかが明確となっているため、外部からのサイバー攻撃などの脅威から情報を安全に保護することもできます。
また、取引先に安心感を与えることが可能です。
取引先企業からすれば、情報セキュリティの指針がない安全ではない会社よりも、情報セキュリティポリシーが適切に策定されていて安全な会社と取引したいものです。
反対に、大企業のサプライチェーンを構成するようなビジネスに参画することになった場合、セキュリティポリシーが存在すれば、自社のセキュリティ対策が要件を満たしているか確認できるため、素早い受注判断やポリシー自体の改正が可能となります。
情報セキュリティポリシーの例文
情報セキュリティポリシーのメリットを説明してきましたが、いざまっさらな状態から情報セキュリティポリシーを作成するのは至難の業です。
そこでここでは、インターネット上で公開されている情報セキュリティポリシーの例文をいくつかご紹介します。
自社で情報セキュリティポリシーを作成する際の参考にしてみてください。
情報セキュリティポリシーサンプル1.0版
特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)が公開している情報セキュリティポリシーのサンプルです。
2002年に作成されてから、スマートデバイスやクラウド、SNSなどの新しい技術やサービスの登場に応じて、つど改定作業を行い、現在は情報セキュリティポリシーサンプル1.0版として公開されています。
中小企業の情報セキュリティ対策ガイドライン
情報処理推進機構が公開している中小企業向けの情報セキュリティ対策のガイドラインです。
情報セキュリティ対策に取り組む時に必要となる、経営者が認識し実施すべき指針や、社内で情報セキュリティ対策を実践するときの手順や手法がまとめられています。
現在は、中小企業などを対象としたクラウドサービスなどの環境変化を受けて改定された、第3版が公開されています。
教育情報セキュリティポリシーに関するガイドライン
文部科学省が公開している、教育機関を対象とした情報セキュリティポリシーです。
GIGAスクール構想を想定した1人1台端末の整備や校内通信ネットワークの整備など、学校ICT環境整備の推進を踏まえた内容になっています。
ガイドラインとともに「教育情報セキュリティポリシーに関するガイドライン」も公開されています。
情報セキュリティポリシー(ソフトバンク株式会社)
ソフトバンクでは、情報漏洩リスクへの対策の一貫として2006年12月25日より情報セキュリティポリシーが施行されています。
具体的には情報セキュリティ管理体制の構築や、最高情報セキュリティ責任者(CISO)の配置、情報セキュリティに関する内部規定の整備などの項目が設けられています。
このようにさまざまな組織や企業で情報セキュリティポリシーが設定されていますが、いざ作成するとなると、何から手をつけたら良いのか分からないこともあるかもしれません。
弊社が配布している資料では、情報セキュリティポリシーの作成方法をサンプル付きでイメージしやすく解説しています。ぜひご参考にしてください。
まとめ
情報セキュリティポリシーについて解説しました。
情報セキュリティポリシーは、セキュリティ対策において必要なものであり、大企業との取引機会を逃さないためにも欠かせないものです。
具体的には以下の3つの点を意識することが重要です。
- 情報資産の明確化
- 適用対象者の範囲決定
- 具体的な規定
これらを踏まえ、極力具体的に記載する、PDCAサイクルを回しながら継続的に最新の内容にアップデートする、といったことから安全な情報資産管理を実現しましょう。
