兵庫WEB制作.com

【シリーズ:セキュリティ】情報セキュリティの規定を制定しよう

2018年6月11日

情報セキュリティ対策には、管理対策の有効性や継続性を常に計り、監査、そしてレビューを繰り返す必要があります。

情報セキュリティポリシだけではなく、文書や機密のの管理規定などを制定することも必須です。

情報セキュリティの管理

組織運営は情報セキュリティポリシに従う

情報セキュリティポリシは、方針や基準といったものなので、細かい決まりがあるわけではないといえます。

実際の情報セキュリティのマネジメントになると、対策の実施手順や規定を用意しておき、細かい手順や手続きを記述します。

ですので、情報セキュリティを守る組織運営には、明文化した文書、それに従った意思統一が必要です。

特に定められた公式な骨組みはないものの、およその文書構成としては、以下のようになります。

情報セキュリティポリシの文書構成

情報セキュリティポリシの基本構成

会社や組織の情報資産を守るための方針や基準を明文化したのが情報セキュリティポリシですが、2つの基本構成となります。

1.情報セキュリティ基本方針

情報セキュリティに対する組織の基本的な方針、考え方となり、経営陣によって承認されるものです。

管理体制や罰則、目的、対象範囲などについて記述され、全てのスタッフ及び関係者に通知し、公表されます。

2.情報セキュリティ対策基準

上述の情報セキュリティの基本方針と、リスクアセスメントの結果に基づき、対策基準を決定します。

具体的な遵守事項や基準を定め、適切な情報セキュリティのレベルを維持、確保します。

※リスクアセスメント・・・危険を未然に除去・防止する手法。事前に危険を見つけ出すのがポイント。

代表的な規定類

・情報管理規定
・文書管理規定
・機密管理規定
・事故への対応規定
・情報セキュリティ教育の規定
・マルウェア感染時の対応規定
・職務規定
・罰則規定
・例外規定
・規則更新規定

etc…

プライバシポリシと個人情報

プライバシポリシは、収集した個人情報をどのように扱うのか定めた規範で、個人情報保護方針ともいいます。

ウェブサイトでよく見ますし、セキュリティポリシの一部として記載することもよくあります。

※個人情報・・・氏名、住所、メールアドレスなど、それ単体、または組み合わせで個人を特定できる情報のこと

– –

具体的な運用手順は、様々な規定類で明記しておきます。

マニュアルに近いような感じもしますが、大切な資産を守り、運用していく為のツールの一つであるという認識をもつのがいいのではないかと思います。

昨今の情報セキュリティに対する攻撃は多種多様ですが、マニュアル通りにもならないことも今後は多くの場面で見受けられるようになるでしょう。

【ホームページの制作・更新・運用】お困りのことがあればご相談ください

その他のコラム

Facebook TWITTER LINE