情報セキュリティ方針を策定するには?情報セキュリティ目的も解説

この記事は約7分で読めます。

情報セキュリティ方針は、会社の情報セキュリティの基本的なルールを定めるものです。

基本文書なので、具体的な行為義務を定めることはなく、こういう場合にこういうことをするべき、といった具体的な場面を想定しているものでもありません。

会社の目的に照らして、なぜ情報セキュリティ体制を整備するのか、宣言している例が多いようです。

これから情報セキュリティ方針を定める、あるいは改訂する際に、目的をどのように定めるのが適切か、特に今後ISMSに定められる情報セキュリティマネジメントシステムを整える必要がある場合に参考になるよう、まとめてみました。

訪問回数無制限! 認証取得100%!

情報セキュリティ方針のおさらい

情報セキュリティ方針は、社長が制定する、会社の情報セキュリティに関する原則や基本的な考え方を示す文書のことです。

情報セキュリティに関する原理原則・他の規定に対して、根拠となる規定を内容としています。

社長・組織の代表者が制定するところに特色があります。

情報セキュリティに関する最終責任は、社長・組織の代表者が負うべきものとされています。

そのため社長等の代表者の名前で公表し、社会に対するコミットメント(約束)を示しています。

ところで、情報セキュリティ方針を分解するといくつかのテーマに分けることができます。少し要素を分解しながら、規定の内容を次で概観します。

会社の目的に対して適切であること

「会社の目的」というと、非常に幅広で漠然とした話ではありますが、会社は定款に目的を定めているように、事業の目的があります。

その事業の目的と情報セキュリティの関係を考えた場合、情報セキュリティの目的は事業を促進するもの、少なくとも、事業にマイナスになるような事象を防止することが求められます。

ISMS認証にも、情報セキュリティ方針を定めることは必須とされていますが、以下の要素を含んでいる必要があります。

  • 情報セキュリティの目的を含むこと
  • 情報セキュリティに関連する要求事項を満たすことへの約束(コミットメント)
  • ISMSを継続的に改善していくことの約束(コミットメント)

『情報セキュリティの目的』に記載するべき事項

情報セキュリティ方針の目的を決めていくうえで重要なのは、会社の目的に対してセキュリティ方針の目的もまた適切であることです。

会社の目的が、小売事業であれ、製造業であれ、情報通信業であれ、情報セキュリティ方針を定めることは、事業の目的に情報セキュリティ体制が何らかの関係があるためです。

具体的にどういうことを言うべきなのかですが、情報セキュリティ体制の整備がなければ、会社の事業にかかわりのある利害関係者にマイナスの影響が出ることが懸念されること、そうした影響は回避することが目的といってよいのですが、会社の目的との関係でもう少し具体的な文言にします。

なぜこの情報セキュリティ体制と、これに関する業務が存在しているのか、「会社の目的」に依拠している内容とします。

対外的な文章なので、従業員の意識が向きにくい内容ですが、従業員へのメッセージでもあることを忘れないようにしてください。

『会社の目的』として記載する文章の作成方法

情報セキュリティの目的は会社ないし事業の目的に依拠したものである必要があるので、事業の目的を簡単に表して、織り込む必要があります。

一口で言っても、そこに盛り込みたい要素は色々と出てくると思います。例えば、売り上げを伸ばす、従業員を増やす、活動拠点を増やす…そういった事業規模の拡大に関する文言も、会社ないし事業の目的に挙げられます。しかし、そこまで具体的にすると、なかなか情報セキュリティの目的とはつながりにくいでしょう。

次のような具体例を見てみましょう。

例 1
当社は、お客様の情報をお預かりしてコンサルティングサービスを提供していることから、情報セキュリティ体制の構築を本質的な義務の一部と考えています。
役職員一同継続的に体制の構築に取り組むことをお客様及び広く社会にお約束することことを目的として、この情報セキュリティ基本方針を制定いたします。
例 2
当社は、製品を消費者の皆様に対して広く提供しています。消費者の皆様の信頼を得ること、そして維持することが会社の重要な目的と考えています。
情報セキュリティ体制を十分に整備することは、皆様の信頼の重要な要素であることに鑑み、全社的に体制を整え継続して真摯に取り組むことを宣言する目的で、この情報セキュリティ方針を制定します。

情報セキュリティの目的として書くべきポイントは

  • 会社の目的
  • 会社の目的と情報セキュリティの関係
  • 誰に向かっての文書であるとするのか

上記の例では、この3つがそれぞれ織り込まれています。

情報セキュリティ方針は、会社の基本文書なので従業員に対しても向けられた文書です。この目的の箇所、または方針内での他の箇所で従業員についての位置づけが分かるようにしておきましょう。上記の例では、経営者と一緒に取り組む主体であることが示されています。

そして、この目的に向かって従業員が行動できることが理想です。実際は、情報セキュリティ方針に基づき、服務規程・就業規則などにより従業員の具体的な行動指針が定められます。

「情報セキュリティ目的」とは

情報セキュリティ目的は、情報セキュリティ方針を達成するためのものである必要があり、なおかつ文書にしてお客様や社会に対してコミットしているので、目的として宣言した情報セキュリティ体制は構築を必ず行われなければなりません。

体制の構築というと若干抽象的なのですが、ISMSに準拠して有効なマネジメントシステムを構築するためには情報セキュリティ目的は測定可能である必要があります。

適切な評価をすることで改善策を練り、PDCAサイクルをまわし、自社の体制を改善させることができるようにします。

ただし、情報セキュリティ目的の一つ一つの要素が必ずしも測定可能である必要はありません。要求事項でも実行可能な場合は少なくとも0か1かの測定が可能であると考えてよいです。

また、測定ができないものでも、遵守していればよい、というものもありますので、柔軟に考えた方が適切です。

加えて、必ずしも改善をする必要はなく、例えば金融機関の場合のように、監督官庁である金融庁がガイドラインとして要求する事項を遵守するなど、高度なセキュリティレベルを維持することを目的とすることについては、問題ありません。

そのほかに、情報セキュリティの指標には以下の点についての評価があります。

  • 「機密性」(外部や無権限のものに情報を見せない・さらさないこと)
  • 「完全性」(データ・情報が完全なものであること)
  • 「可用性」(データ・情報が欲しい時にアクセスできること)

上記の三要素がどれくらい遵守できているかは情報資産の管理においては指標となりますが、リスクが高いものへの対応を目的として掲げることもまた問題はありません。

情報セキュリティ目的を含むマネジメントシステムへの思い込みとは

情報セキュリティマネジメントシステムとそれに伴うPDCAサイクルの回し方には実は誤解が広く見られるところです。

多くの人が目的・目標を立てること=向上させること、と思いがちです。しかし、それ以上に低下しない、ということも重要なポイントである場合があります。高いレベルで維持できることも目的のひとつなので、維持するだけでも問題ない場合があるということは、先ほども触れたところです。

こうした基礎知識を知っておき、情報セキュリティ方針の目的、方針全体の作成に取り組んでみましょう。

まとめ

以上に見たように、情報セキュリティの目的は、情報セキュリティ方針の中でも「なぜ情報セキュリティに会社が取り組むのか」を端的に示す部分として同方針の構成要素です。

経営者の情報セキュリティに関する約束を文書にしたものであり、情報セキュリティの目的として記載する事項は、会社の目的に従って作成されたものである必要があります。

こうした経営者のコミットメントについては、内部監査組織・各種調査などで検証されますし、また取引先がデューデリジェンスのために評価の対象とすることがあることを理解しておきましょう。

弊社ではISMS認証取得/運用支援サービスを行っております。会社のスタイルに合わせ、自社で「運用できる」認証をこれまでに2,100社以上ご支援してまいりました。ISMS認証取得にご興味のある方、運用でお困りごとのある方は、まずはお気軽に無料でご相談ください。

ISMS / ISO27001認証取得を目指す
タイトルとURLをコピーしました