情報セキュリティポリシーとは
情報セキュリティポリシーは、組織の情報資産を守るためのルール・方針・手順を体系的にまとめた文書です。「セキュリティツールを入れる」だけではなく、「組織としてどうセキュリティを管理するか」のルールを明文化することが目的です。
3層構成
| 層 | 文書名 | 内容 | 対象読者 |
|---|---|---|---|
| 第1層 | 基本方針 | 組織としてのセキュリティに対する姿勢・宣言。経営者が承認 | 全社員、取引先、公開用 |
| 第2層 | 対策基準 | 具体的なルール(パスワードは8文字以上、USB使用禁止等) | 管理者、IT部門 |
| 第3層 | 実施手順 | 具体的な操作手順(MFAの設定手順、インシデント報告フロー等) | 全社員、IT部門 |
策定手順
- ①情報資産の棚卸し:守るべき情報資産(顧客データ、財務情報、技術情報等)を特定
- ②リスクアセスメント:各情報資産に対する脅威と脆弱性を評価し、リスクを特定
- ③基本方針の策定:経営者の方針を明文化し、全社に公表
- ④対策基準の策定:リスクアセスメントの結果に基づき、具体的なルールを決定
- ⑤実施手順の整備:各ルールの実施手順をマニュアル化
- ⑥教育・周知:全社員への研修と周知。年1回以上の更新
テンプレートの活用
IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」には、中小企業向けのセキュリティポリシーテンプレートが含まれています。ゼロから作成する必要はなく、テンプレートをベースにカスタマイズするのが効率的です。
最低限作るべき規程
- 情報セキュリティ基本方針:A4で1ページ。経営者名で公表
- アクセス管理規程:アカウント管理、パスワードポリシー、退職時の対応
- インシデント対応手順:セキュリティ事故発生時の報告フロー、初動対応、連絡先
- デバイス利用規程:PC持ち出し、BYOD、リモートワークのルール
まとめ
情報セキュリティポリシーは基本方針・対策基準・実施手順の3層で構成します。IPAのテンプレートを活用して効率的に策定し、年1回以上の見直しを行いましょう。