Search

検索したいワードを入力してください

2019年09月03日

情報セキュリティポリシー策定の方法6つ|策定において必要なこと6つ

今やどの企業でもインターネットや情報資産を活用して仕事を行うことが増えてきています。その一方で、情報資産の漏洩や外部ネットワークからの攻撃も増えてきています。そうした事件を未然に防ぐためには「情報セキュリティポリシー」を策定することが必要です。

情報セキュリティポリシー策定の方法6つ|策定において必要なこと6つ

情報セキュリティポリシーとは

情報セキュリティポリシー策定の方法6つ|策定において必要なこと6つ
情報セキュリティポリシーとは、組織(企業など)が取りまとめた情報セキュリティに対する基準やルールなどのことを言います。

主に「基本方針」「対策基準」「実施手順」の3つの階層で構成された内容が書かれているのがほとんどです。

ですが、企業ごとに仕事の内容やネットワークの環境、情報資産の内容や社内ルールなど多種多様であるため、それぞれの企業や組織に合った情報セキュリティポリシーを策定しなければなりません。

情報セキュリティポリシー策定の方法6つ

情報セキュリティポリシー策定の方法6つ|策定において必要なこと6つ
いざ情報セキュリティポリシーを策定しようとなっても、他の企業の情報セキュリティポリシーと同じ内容のものを策定してはいけません。まず自分たちの企業や組織に適した形に策定していくことが大事です。

では、どのようにして情報セキュリティポリシーを策定していくのか、その方法を6つに分けてご紹介します。

情報セキュリティポリシー策定の方法1:策定の組織を決める

情報セキュリティポリシー策定の方法6つ|策定において必要なこと6つ
情報セキュリティポリシーを策定するために、策定を行う組織を決める必要があります。組織の責任者や組織に関わるメンバーをできるだけ企業内のメンバーから決めていくこと、企業に適した形の情報セキュリティポリシーを策定することができます。

ただ、策定をするためにはそれなりの知識が求められてくるため、必要に応じて外部の専門家に参加してもらうことも必要です。

情報セキュリティポリシー策定の方法2:決めなければならない事を決める

情報セキュリティポリシー策定の方法6つ|策定において必要なこと6つ
情報セキュリティポリシーを策定するそもそもの目的や、策定作業に必要なことをあらかじめ決めておく必要があります。

策定作業を実施するのに必要な経費の明確化、さらに企業が保有している情報資産のうちどの範囲までセキュリティを適用するか、どの役職の人から情報資産の管理対象にするかなどを決めておきます。

決めなければならないことをあらかじめ決めておくことで、策定作業がスムーズに進みます。

情報セキュリティポリシー策定の方法3:策定スケジュールを決める

情報セキュリティポリシー策定の方法6つ|策定において必要なこと6つ
情報セキュリティポリシーの策定で決めるべきことが決まったら、それらを実施する開始時期、完了時期などのスケジュールを決めていきます。

全体の策定作業はいつまでに終わらせるか、策定に必要な各作業はそれぞれいつからいつまでに行えばいいのかを決めたりすることで、全体の作業が間延びすることがなくなり策定作業もスムーズに進んでいきます。

情報セキュリティポリシー策定の方法4:情報資産の洗い出しをする

情報セキュリティポリシー策定の方法6つ|策定において必要なこと6つ
企業や組織によって保有している情報資産は異なります。そのため自分たちがどんな情報資産を保有しているのかを洗い出す必要があります。

洗い出しをすることで、自分たちが保有している情報資産が何なのかを再確認できます。また、後に行うリスク分析を実行するにあたり、保有している情報資産が何なのかをあらかじめ把握しておく必要があるため、洗い出しは策定で重要な作業となります。

情報セキュリティポリシー策定の方法5:リスク分析をする

情報セキュリティポリシー策定の方法6つ|策定において必要なこと6つ
情報資産を洗い出したら、次にどのようなリスクが発生するかを分析していきます。社内で発生するリスクもありますが、社外から発生するリスクも存在します。

社内リスクとしては、情報資産の漏えいが考えられます。また社外リスクとしては、スパイウェアなどによる外部不正アクセスによるコンピュータへの攻撃が考えられます。

これらのリスクを分析することで、リスクへの対応策を検討しやすくなりセキュリティ強化に繋がります。

情報セキュリティポリシー策定の方法6:対策基準と実施内容の策定をする

情報セキュリティポリシー策定の方法6つ|策定において必要なこと6つ
情報資産ごとに分析したリスクがまとまったら、それらのリスクに対する対策基準と実施内容を策定していきます。

社内からの情報漏洩が起こりうる情報資産があったらそれをどう管理したら漏洩を防げるのか、外部からの不正アクセスが起こりうるコンピュータがあったらどうセキュリティ対策を行えばいいのか、などを検討します。

対策の基準と実施する内容を策定することで、セキュリティ対策への具体的な対応方針が見えてきます。

情報セキュリティポリシー策定で必要なこと6つ

情報セキュリティポリシー策定の方法6つ|策定において必要なこと6つ
前項では、情報セキュリティポリシーの策定をする方法を記載しました。しかし、実際に策定を行うとなったときに策定方法だけを知っていても、実際に策定で必要なものが揃っていないと、作業自体ができなくなってしまいます。

次からは、情報セキュリティポリシーの策定に必要なことを6つご紹介します。

情報セキュリティポリシー策定で必要なこと1:情報資産を明確にする

策定の方法でも記載しましたが、自分たちの情報資産は明確にする必要があります。

どんなにセキュリティを強化していっても、自分たちが保有している情報資産についてあいまいな状態で管理していると、情報資産ごとに対応したセキュリティ対策が適用されず、強化したセキュリティも無意味となってしまいます。

また、情報資産が明確化していないと、気が付かないうちに社内から外部へ情報が漏れだしてしまう可能性もあります。

情報セキュリティポリシー策定で必要なこと2:対象の範囲を明確にする

情報セキュリティポリシーは基本的に自分たちの企業のために策定するものなので、その企業で働く社員に適応されるのは当然ですが、外部からの派遣社員などもこれに適応させるべきかも明確化させることが必要です。

また、正社員の中でも役職ごとや所属部署ごとに情報資産の閲覧や持ち出しなどのルールが異なるのであれば、それに応じて情報セキュリティポリシーの策定範囲も変える必要があります。

情報セキュリティポリシー策定で必要なこと3:具体的に記述する

策定した情報セキュリティポリシーの内容があいまいな表現だと、その内容を実施する手順が分からずに形だけのものになってしまい、誰もセキュリティを意識しなくなってしまいます。

そのため、情報資産の取り扱い方やコンピュータのパスワード設定をするうえでのルールなどをただこれをやってと記載するのではなく、具体的な手順を明記することで、セキュリティへの意識を高めさせるような内容で策定をすることが必要です。

情報セキュリティポリシー策定で必要なこと4:実現可能な内容にする

あれやこれやと情報セキュリティポリシーを記述していったとしても、それが実現可能なものでなければ意味がありません。

無理難題な情報セキュリティポリシーを策定してしまうと、予算の何倍もの金額を使ってしまったり、策定スケジュールが大幅に遅れたり、そもそも実施できずに策定をし直す問題が発生してしまいます。

実現可能な範囲で、かつ情報資産を守ることのできる情報セキュリティポリシーを策定していく必要があります。

情報セキュリティポリシー策定で必要なこと5:運用や維持体制を考慮する

情報資産を守るルールや基準を策定できても、それを運用維持することができなければ、せっかく策定したルールも崩れてしまい、情報漏洩などの危険性が高まります。

そのため、情報漏洩を防ぐための手順確認やコンピュータへのパスワード変更を定期的に行ったり、組織全体がセキュリティポリシーをどれだけ守れているかを責任者に報告するなどして、組織全体がセキュリティポリシーを常に意識できる体制を考慮する必要があります。

情報セキュリティポリシー策定で必要なこと6:違反時の罰則を明記する

情報セキュリティポリシーに守らなくてはいけないルールなどが記載されていたとしても、それに違反してしまう人が出てきます。

その時に企業としての対応をあらかじめ決めておかないと、ほかの人もそれをマネし始めてしまう可能性があり、場合によっては違反が繰り返され企業への信用がなくなってしまう可能性もあります。

そのため、情報セキュリティポリシーを違反したときの罰則を明記することで、違反への抑止力となります。

あなたの会社に仕事の生産性をあげる「働き方改革」を起こしませんか?

情報セキュリティポリシー策定の方法6つ|策定において必要なこと6つ
名刺が多すぎて管理できない…社員が個人で管理していて有効活用ができていない…そんな悩みは「連絡とれるくん」で解決しましょう!まずはこちらからお気軽に資料請求してみてください。

情報セキュリティポリシーを策定しないことで起こる問題

情報セキュリティポリシー策定の方法6つ|策定において必要なこと6つ
ここまで、情報セキュリティポリシーを策定する方法や必要なことをまとめていきました。では、情報セキュリティポリシーを策定しなかった場合、どんな問題が起こるのでしょうか。

ここからは、情報セキュリティポリシーを策定しないことで起こりうる問題を5つご紹介します。

問題点1:情報管理体制があいまいになる

情報セキュリティポリシーを策定し、情報の管理体制を明確化しておかないと、誰がどの情報資産を管理しているのか、そもそもどこに管理されているかがあいまいになってしまい、誰も情報資産について把握できない状況になってしまいます。

情報の管理体制を明確化しておくことで、誰がどの情報管理しているか、その情報資産はどう管理するのかが分からないといった、あいまいな管理体制を回避する必要があります。

問題点2:情報漏洩のリスクが高くなる

情報資産の管理方法を明記しておかないと、企業に所属する社員が外出する際に外部へ資産を安易に持ち出してしまったり、メールの作成、確認するルールが無かったことで関係ない人たちへ情報を流してしまいます。

情報セキュリティポリシーを策定して情報資産の管理方法を明確化したり、仮に情報漏洩したときの罰則を決めておくことで、情報資産が漏洩するリスクを極力下げていく必要があります。

問題点3:外部の脅威から情報を守れなくなる

企業や組織が保有するコンピュータに対するセキュリティが甘いと、外部からの攻撃を防ぐことができず、情報が盗まれたり破壊されたりしてしまいます。

コンピュータのセキュリティを高めるためにも、パスワード設定のルールを明確化したり、アンチウイルスソフトを活用する方針をたてたりして、外部からの驚異を防ぐ必要があります。

問題点4:セキュリティ事故が発生した時に対処できない

情報セキュリティポリシーを策定していない状態だと、もし組織内のセキュリティに関する事故が発生した場合に対処方法を誰も把握しておらず状況に陥ってしまい、復旧までに大幅な時間を要してしまいます。

このようなことが起こらないように、あらかじめセキュリティ事故が発生した場合の対処方法を明確化しておき、もしもの時にも全員がその問題に適切な対処ができるようにしておく必要があります。

問題点5:社員や職員のセキュリティ意識が低くなる

情報セキュリティポリシーを策定していないということは、セキュリティに関するルールも皆無なため、社員や職員は普段からセキュリティを意識せずに情報資産やコンピューターを取り扱うことになります。

すると、情報漏洩や外部からコンピューターへの攻撃が起こりやすくなります。情報セキュリティポリシーを策定することで、普段から社員や職員にセキュリティへの意識をもってもらい、自分たちで未然に問題を防ぐことができます。

情報セキュリティポリシーを策定しよう

情報セキュリティポリシー策定の方法6つ|策定において必要なこと6つ
今回の記事では、情報セキュリティポリシーを策定するにはどうしたらいいか、また情報セキュリティポリシーがどれだけ大切かをまとめました。

皆様も、情報セキュリティポリシーを策定する際は正しい手順で策定し、セキュリティを強固にして、自分たちの企業や組織の信頼性を上げていきましょう。

Related