フォーカスノート
情報セキュリティにおける基本方針とは?考え方と作り方を解説
目次
情報セキュリティにおける基本方針とは、その組織が情報セキュリティをどのように捉えているのか、どのように安全である体制を維持していくかを宣言した公開文書のことです。
更にわかりやすく言えば、その組織の経営者が、情報セキュリティについてどのように考えるのか、を明文化したものです。
今回は、その情報セキュリティ基本方針についての考え方と作り方について解説します。
情報セキュリティポリシーについて
情報セキュリティ基本方針は、一般的に「情報セキュリティポリシー」の一部として扱われていることから、まずは「情報セキュリティポリシー」について解説します。
概要と目的
情報セキュリティポリシーとは、企業や組織の情報セキュリティ対策の方針や行動指針をまとめたものです。一般的には情報セキュリティに関する基本的な考え方、基本方針、運用体制、運用規定、対策基準などを内容に含みます。
その目的は、組織の重要情報を脅威から守ること。さらに、情報セキュリティポリシーを的確に運用することで、従業員のセキュリティへの意識づけにもなるために重要視されています。
構成
情報セキュリティポリシーの構成は、一般的に、下記の通り「基本方針(ポリシー)」、「対策基準(スタンダード)」、「実施手順(プロシージャー)」で構成されています。
「基本方針」は、組織の経営者が情報セキュリティに適切に取り組むことの意思表明です。また、組織全体に対しての、情報セキュリティに取り組む方針を示すものでもあります。
「対策基準」は、基本方針に沿って、組織的にどのような対策を講じるのか分野ごとにルール化したものです。情報セキュリティに関わる人事規定や就業規定などもこれにあたります。
「実施手順」は、更に詳細な手順をまとめたもので、いわゆるマニュアルにあたります。
場合によっては、基本方針だけ、または基本方針と対策基準だけを情報セキュリティポリシーと呼ぶこともあります。情報セキュリティポリシーの構成は、企業ごとに異なるため、必ずしもこの構成でなくても問題はありません。
基本方針(ポリシー)とは
「セキュリティ基本方針」などとインターネット検索をすれば、各企業がホームページで掲載している各社の基本方針を見ることができます。各社の基本方針を比較してみる、企業ごとに基本方針の内容は異なっていることがわかります。それは、それぞれの組織の特徴や、考え方によって、あるべき姿が異なるからです。
一方で、どの企業の基本方針も、だいたい5~10箇条ほどで簡潔にまとめられていることが多い傾向にあります。それは、基本方針が社内外に対して情報セキュリティに取り組む姿勢をわかりやすく明文化した意思表明だからです。
なぜ情報セキュリティに取り組むのか、なぜ情報セキュリティポリシーを定めたのか、なぜ遵守しなければならないのか、といった強調すべきポイントを簡潔にまとめることが重要です。中には、A4用紙1枚に収まる程度の文章にまとめるのがよい、という意見もあります。
情報セキュリティ基本方針は自分たちで作る
他社が公開している基本方針を転用しても意味がありません。情報セキュリティ基本方針は、しっかりと自分たちで考えて作ることが重要です。
理由としては2つあり、1つ目は先ほどもお伝えした通り、情報セキュリティ基本方針は、組織の特徴や考え方によって、あるべき姿が異なるからです。
2つ目は、自分たちで考えること自体が重要だからです。自分たちで考えることで、そもそも自分たちが守らなければならない情報や、その理由などを正しく把握でき、経営陣の情報セキュリティ対策に関する意識の向上にもつながります。形だけ基本方針を作っても、実務レベルには反映されず、形骸化してしまうことも少なくありません。
情報セキュリティ基本方針を作るためにするべきこと
基本方針を作る際、自分たちの、守るべき情報と、その理由について、正しく把握する必要があります。IPA(情報処理推進機構)などでは、情報セキュリティポリシーを作るための4つのステップを紹介していますが、そのうちの、ステップ1とステップ2を参考にしてみるといいかもしれません。
ステップ1 情報資産管理台帳を作成する
どのような情報資産があるか洗い出して重要度を判断します。
まずは社内で保管している情報資産を台帳に記入します。情報資産ごとに、漏洩した場合、改ざんされた場合、誤記があった場合、利用できなかった場合の影響について重要度を判断します。また、それぞれの管理責任を持つ関係者の個人情報を識別します。
ステップ2 リスク値の算定
リスク値を算出して、セキュリティ対策が必要な情報資産を把握します。
ステップ1洗い出した情報資産について、リスク値を算出します。数式は、リスク値=重要度×被害発生可能性です。
被害発生可能性は「脅威の起こりやすさ」「脆弱性のつけ込みやすさ」の2種類の値を基に算出します。
細かな算出方法については、IPAの「中小企業の情報セキュリティ対策ガイドライン」の35ページを参考にしてみてください。
まず自社の基本方針を確認してみましょう
いかがでしたか? 今回の記事で紹介した基本方針のあり方や考え方は、一例に過ぎません。すでに何度も述べている通り、基本方針のあり方は、組織の特徴や考え方によってそれぞれ異なります。他社が公開している基本方針の転載ではなく、自社にはどんな基本方針が必要なのかということを考え、経営陣が主導で、しっかりと検討することが重要と言えるでしょう。
【参考サイト】
・情報セキュリティポリシーの概要と目的│総務省
・情報セキュリティポリシー・サンプル解説書|JNSA
・中小企業の情報セキュリティ対策ガイドライン3.1版|IPA