Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
目 次
情報セキュリティポリシーとは
情報セキュリティポリシーの基本構成
情報セキュリティポリシー基本方針の例文
情報セキュリティポリシーが正しく機能するために
情報セキュリティポリシーの運用
情報セキュリティポリシーで安定したセキュリティ環境を
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
情報漏洩事件が後を絶たない現代、保有する機密情報をいかに守るのかは組織にとって常に意識しなければならない要素です。
組織が一貫したセキュリティ環境を保つためには、全従業員がルールを遵守し適切に機密情報を取り扱う必要があります。
この記事では、組織として作成するべき情報セキュリティポリシーの基本について解説します。
情報セキュリティポリシーとは
情報セキュリティポリシーとは、組織の情報セキュリティに対する方針や考え方を文書化したものを指します。
多くの脅威が存在する環境で、組織が機密情報の取り扱いをどのように考え、従業員が行なうべき適切な運用はどういうものかを記載します。
ほとんどの組織では、業務を遂行する上で機密情報を保持することになります。
セキュリティ意識やリテラシーは個人差がでやすい面もあり、情報の取り扱いを個人任せにすることは情報漏洩のリスクに繋がるでしょう。
情報セキュリティポリシーを作成して全従業員に徹底させることは、組織全体のセキュリティ環境の維持・改善とセキュリティインシデント防止に有効です。
インシデントについてはこちらで詳しく解説していますので、併せてご覧ください。
情報セキュリティポリシーの基本構成
セキュリティポリシーは、一般的に3つの階層で構成されます。
情報セキュリティポリシーの3階層
- 基本方針
組織としての基本方針です。
「経営者や責任者がセキュリティの向上に努める」や、「従業員の教育を行い、適切なリテラシーのもと情報を取り扱う」など、大前提として組織が取り組む方針を記載します。 - 対策基準
基本方針に則り、具体的にどのような基準で情報を取り扱うのかを記載します。
実務上でも直接的に意識する内容になるため、策定にはそれぞれの担当部署やIT管理部門が参加することが望ましいです。
具体的なセキュリティ対策のガイドラインになることを意識し、「社内システムの利用」や「外部との契約」、「オフィスの入退室」などの切り口で作成します。
許可・禁止されていることを明示することで、組織内部の人間が迷うことなく適切な行動を取るための基準になります。 - 実施手順
業務を遂行するための具体的な手順を記載するマニュアルです。
従業員は対策基準に則った方法で業務を遂行する必要がありますが、作業のたびに対策基準と照らし合わせて方法を検討するのは現実的ではありません。
実施手順では、具体的にどのような方法で対策基準を満たした業務を遂行するのかマニュアル化します。
下記の項目が考えられます。
・サーバーメンテナンスのマニュアル
・貸与端末のパッチ適用やOSの最新化マニュアル
・従業員教育の方法や頻度マニュアル
これらの要素を加味し、抜けや漏れのないセキュリティポリシーを策定しましょう。
情報セキュリティポリシー基本方針の例文
基本方針は、組織としてセキュリティをどのように考えるのかを包括的に示します。
そのため、特定の情報や業務に偏った内容ではなく、広い範囲をカバーする内容としましょう。
IPAが情報セキュリティポリシー基本方針のサンプルを公開しているので引用します。
情報セキュリティ基本方針
株式会社○○○○(以下、当社)は、お客様からお預かりした/当社の/情報資産を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応えるべく、以下の方針に基づき全社で情報セキュリティに取り組みます。
1.経営者の責任
当社は、経営者主導で組織的かつ継続的に情報セキュリティの改善・向上に努めます。
2.社内体制の整備
当社は、情報セキュリティの維持及び改善のために組織を設置し、情報セキュリティ対策を社内の正式な規則として定めます。
3.従業員の取組み
当社の従業員は、情報セキュリティのために必要とされる知識、技術を習得し、情報セキュリティへの取り組みを確かなものにします。
4.法令及び契約上の要求事項の遵守
当社は、情報セキュリティに関わる法令、規制、規範、契約上の義務を遵守するとともに、お客様の期待に応えます。
5.違反及び事故への対応
当社は、情報セキュリティに関わる法令違反、契約違反及び事故が発生した場合には適切に対処し、再発防止に努めます。
制定日:20〇○年○月○日
株式会社○○○○
代表取締役社長 ○○○○
引用:IPA 中小企業の情報セキュリティ対策ガイドライン
サンプルを参考にし、自組織に合わせた内容に適宜修正して作成するとよいでしょう。
情報セキュリティポリシーが正しく機能するために
情報セキュリティポリシーは、従業員全員が内容を理解して遵守することで初めて意味を成します。
情報セキュリティポリシーは具体的な表現で作成し、従業員それぞれが違った解釈をしないよう留意しましょう。
情報セキュリティポリシーの内容は多岐にわたり、考慮するポイントが多く存在します。
また、情報セキュリティポリシーの意図や内容を従業員が正しく理解するためには、従業員のリテラシー教育が有効です。
従業員が高いリテラシーを持てば、業務のセキュリティリスクや課題の発見や、セキュリティポリシーの改善に繋がるためです。
情報セキュリティポリシーはただ策定するだけではなく、従業員への周知や教育を丁寧に行なうことが大切です。
従業員の教育については、こちらの記事で詳しく解説していますので併せてご覧ください。
情報セキュリティポリシーの運用
セキュリティポリシーを作成しても、業務内容の変化や新しいシステムの導入などにより、いずれは実業務との乖離が発生します。
PDCAサイクル
一般的にセキュリティポリシーは、PDCAサイクル(Plan,Do,Check,Action)を回して適切な状態を保つことが推奨されています。
現場レベルのマニュアルや業務ルールであれば、業務を行う従業員が常に課題を発見し、改善に繋げる状態が最も望ましいと言えます。
組織の方針や全従業員に関係する対策基準は、少なくとも1年に1回は見直せると良いでしょう。
年度の切り替わりなどによる内部的な環境変化に対応することで、セキュリティポリシーの形骸化を防ぐことに繋がります。
- Plan
セキュリティポリシーの策定(改定)にあたります。
組織の実情を踏まえ、適切に組織が動けるようにルールを検討します。 - Do
検討したセキュリティポリシーを制定し、従業員に周知し必要に応じて教育や説明会を実施します。
従業員はセキュリティポリシーに則って業務を遂行し、目的のセキュリティレベルを維持することに努めます。 - Check
策定されたセキュリティポリシーを現場レベルで運用し、問題なく業務が遂行できているか確認します。
社会情勢や自組織の立場により、セキュリティポリシーの内容に不都合がある場合も多くあります。
また、従業員がセキュリティポリシーを遵守しているかの確認も行います。 - Action
「3.Check」で発見した問題点をもとに、セキュリティポリシーの見直しを行います。
内部監査
セキュリティポリシーを従業員が遵守しているかチェックすることで、実際にセキュリティポリシーが意図した効果を発揮しているのか確認します。
内部監査を行なう際は、下記の点に注意が必要です。
- 監査する担当者は、その担当者が携わっていない業務や部署を担当すること
- 監査した結果を監査対象の責任者へ通知すること
- セキュリティポリシーからの逸脱がある場合は、指摘事項を明確にして是正すること
- 定期的に実施すること
内容が実務に即さないセキュリティポリシーは形骸化しやすく、違反行為の蔓延や黙認に繋がります。
PDCAサイクルを繰り返し、従業員の指標となる内容を維持することが求められます。
情報セキュリティポリシーで安定したセキュリティ環境を
セキュリティポリシーは、組織がどのように情報を扱い、従業員がどのような行動を取るべきなのかを策定する大切な文書です。
明確なルールが策定され、従業員がそれを遵守する体制が整っている組織はセキュリティインシデントを起こしづらく、万が一の場合でもスムーズな対処を行ないやすくなります。
適切なセキュリティポリシーを策定し、堅牢で安全なセキュリティ環境の構築を目指しましょう。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事