「情報セキュリティポリシー」という言葉を聞いたことがあるでしょうか。
実際に企業のホームページに掲載されているので見たことがある人もいるかもしれません。 (出典元:Softbank)
ですが、このようなページを「最初から最後までしっかり読み込んでいる!」という人は少ないのではないでしょうか。
新たにセキュリティ担当者になった人ならば、「何がかかれているんだろう?」「どう作ればいいの?」「どんな事を書けばいいの?」と疑問を持つかと思います。
セキュリティポリシーが大企業との取引には必須と言えるので、ぜひ抑えておきたいポイントです。
今回は、そんな情報セキュリティポリシーの基礎知識や、文書作りのための考え方のポイントをまとめてお伝えします。
情報セキュリティ担当の方は、ぜひ参考にしてみてください。
また、情報セキュリティポリシーの策定・運用のポイントのほかにサンプルも付いた資料を無料で配布しています。
こちらから無料でダウンロードできますので、ぜひご活用ください。
情報セキュリティポリシーとは
情報セキュリティポリシーとは、企業や組織が情報セキュリティを保つための全体的な指針や方針を定めたルールです。
情報セキュリティ(情報の安全)+ポリシー(指針)なので、「情報を安全に守るために何をするのか」という事が記載されています。
「どのような情報資産を」「どのような脅威から」「どのように守るのか」
といった情報セキュリティの基本的な考え方、情報セキュリティを確保するための体制、運用規定、基本方針、対策基準などを具体的に記載するのが一般的で、企業運営をする際のルールづくりとして欠かせません。
より詳細な内容は、総務省の「国民のための情報セキュリティサイト」に記載されています。
もし、情報セキュリティポリシーが無い場合、
- 情報の管理がずさんになる
- 管理が甘くなり、情報漏えいのリスクが高まる
- 情報機器が適切に管理されない
- セキュリテイ事故発生時に適切な対応が取れない
などなど、指針がないとどんな対応をすればよいかが明確にならず、従業員のセキュリティ意識の低下やITリテラシーが向上しない状態に陥ってしまいます。
このような状態の企業に、業務の依頼はしづらいでしょう。
特にセキュリティの厳しい大手企業は、トラブルに巻き込まれたくないという心理から、ポリシーがない会社との取引は避けがちになります。
これらの要因から、大手企業と取引をする際に情報セキュリティポリシーは必須と言えるのです。
情報セキュリティポリシーの内容
「情報セキュリティポリシー」の概要と重要性はなんとなく掴めたでしょうか。
難しいように感じるかもしれませんが、記載されている内容1つ1つを分解していくとわかりやすいです。
では、具体的に情報セキュリティポリシーにはどのような内容が書かれているのか、詳しく解説します。
基本方針
「基本方針」には、組織における情報セキュリティ全体の指針や方針や、サイバーセキュリティの必要性、情報資産を守るための方針が記載されています。
企業として、どのような情報資産を、どのような脅威から、どのように保護していくのかを明らかにします。
基本方針はホームページなどに掲載され、第三者でも見ることができるようにするケースが多いので、経営者自らが情報セキュリティマネジメントに関与し、「企業の信用を保持することの宣言」という意味も持ち合わせています。
対策基準
「対策基準」は、部署やシステム別にガイドラインを記載します。
先述した、基本方針を実現するために、どんなセキュリティ対策を実施するのかを明示します。
基本方針に従って、ガイドラインに情報セキュリティ保護策や基準を盛り込み、より踏み込んだ内容が求められ、正しく対策が実施できなかった場合の罰則規定まで記載しましょう。
実施手順
ここでは、実際の業務や作業フローにおいて、情報セキュリティを保つために必要な方策を記述します。
セキュリティ担当者と、各部署の従業員が実施すべき個別のオペレーションを定め、「セキュリティ対策ソフトの導入方法」「不正なアクセスが無いかログを確認する方法」など業務の具体的な内容まで記載しましょう。
情報セキュリティポリシー作成のポイント
情報セキュリティポリシー作成のポイントは、
- 情報資産の明確化
- 適用対象者の範囲決定
- 具体的な規定
の3つあります。
これらのどれかが欠けると、セキュリティポリシーは機能しにくい状況になってしまいます。
1つずつこのポイントについて解説します。
情報資産の明確化
守るべき情報資産の定義は指針として重要です。
守るべき対象がわからなければ、「誰が責任を取るのか」「具体的にどんな対策をするのか」がわかりません。
何を守るのかが明確でないと正しいセキュリティ対策ができないため、守るべき資産範囲を具体的に決めることで、各セキュリティ対策が機能を発揮できます。
適用対象者の範囲決定
適用対象者は、原則として自社従業員全員です。
ですが、自社従業員以外にも協力会社や子会社の人員も必要に応じて対象者の範囲に入れる必要があるでしょう。
また、対象者の役職や地位によって適用範囲が異なる場合はその旨を併記しておきましょう。
条件によって範囲が異なる場合は、文面だけでは伝えづらいため、図表を用いて整理するとわかりやすいです。
具体的な規定
セキュリティポリシーが曖昧だと、形骸化(中身のない形だけのもの)してしまうことは免れません。
適用基準が明確にできるよう、内容はできる限り具体的に作成しましょう。
例えばパスワードの設定方法などは、「最低8文字以上」「英語及び数字を各1字含む」「1カ月に1度の変更」など、具体的な瀬作がイメージできるように規定を定めることが重要です。
情報セキュリティポリシーの運用方法
情報セキュリティポリシーについて解説しました。
「より具体的に」「より適用するものや範囲は明確に」記載することが重要だということが伝わったと思います。
また、情報セキュリティポリシーは1度作ってしまえば終わりというわけではありません。
技術が進歩することにより、不正アクセスの方法は変わりますし、手口も巧妙化していきます。
それに合わせて情報セキュリティポリシーも、PDCAサイクルを回し、改善を繰り返し最新の情報に更新していく運用が求められます。
最近の事例で言えば、コロナ禍で多くの企業がテレワークを導入するタイミングで、社用PCの自宅持ち込みなどのルールを策定し、情報セキュリティポリシーを策定・改変したケースが多いです。
このように時代に合わせたセキュリティポリシーの策定が求められるといってよいでしょう。
情報セキュリティポリシー策定のメリット
情報セキュリティポリシーを策定すると
- セキュリティインシデントの発生を防止
- 外部からのサイバー攻撃といった脅威から情報を安全に保護
- 取引先に対して、安心を与えることができる
のメリットがあります。
セキュリティインシデントとは、情報資産に対し、悪意のある操作が行われてしまった状況のことで、個人情報漏洩などが起きてしまった状態を指します。
未然にこのような事態を防ぐことができるのがセキュリティポリシー最大のメリットと言えるでしょう。
その他にも、セキュリティのために何をするべきかが明確となっているため、外部からのサイバー攻撃などの驚異から情報を安全に保護することもできます。
また、タイトルにもあるように、取引先に安心感を与えることが可能です。
サプライチェーンを管理する大企業の側からすれば「情報セキュリティポリシーで安全を担保できない会社」よりも「情報セキュリティポリシーが適切に策定されており、安全を担保できる会社」を取引主体と考えるからです。
反対に、大企業のサプライチェーンを構成するようなビジネスに参画することになった場合、セキュリティポリシーが存在すれば、自社のセキュリティ対策が要件を満たしているか確認できるため、素早い受注判断やポリシー事態の改正が可能となり、業務効率化にもつながります。
まとめ
情報セキュリティポリシーについて解説しました。
情報セキュリティポリシーは、セキュリティ対策において必要であり、大企業との取引機会を逃さないためにも必要であることがわかりました。
- 情報資産の明確化
- 適用対象者の範囲決定
- 具体的な規定
この3点を意識して、具体的な内容を記載し、PDCAを回して定期的に最新の内容にアップデートしてより安全な情報資産の管理を目指していきましょう。
また、こちらの資料も併せてご活用ください。
