情報セキュリティポリシとは[情報セキュリティマネジメント講座]
今回は情報セキュリティマネジメント試験における、情報セキュリティポリシについて学習します。
情報セキュリティポリシ
情報セキュリティポリシはISMSに基づいて、情報セキュリティに関する組織内の取り組みを規定した文書です。
ISMSの全ての取り組みに先立って策定されます。
情報セキュリティポリシの構成
情報セキュリティポリシは
- 基本方針
- 対策基準
- 実施手順
の3段階で構成されます。
それぞれの階層の説明は以下の通りです。
構成 | 詳細 | 改正頻度 | 策定者 | 公開の有無 |
基本方針 (ポリシ) |
なぜ情報セキュリティに取り組むのか・・・Why ・社会的背景・法令遵守の観点からその必要性を説く宣言文 ・目的・方針・適用範囲・体制などを明記 |
改訂しない | 情報セキュリティ委員会 | 公開 |
対策基準 (スタンダード) |
何を実施するのか・・・What ・守るべきルール・規定 ・情報セキュリティ対策基準・事故への対策規定・文書管理規定 |
数年ごと | 非公開 | |
実施手順 (プロシージャ) |
どのように実施するか・・・How ・マニュアル文書・利用手順書 ・情報システム利用手順書・メールやWebの利用手順書 |
毎年 | 情報システムごと 部門ごと |
情報セキュリティポリシの策定・承認・見直しを行う担当は文書構成ごとに代わってきます。
- 基本方針と対策基準は情報セキュリティ委員会で行います
- 実施手順は情報システムごと・部門ごとに行います。
公開するかどうかも文書構成毎に異なります。
- 基本方針は外部に公開します
- 対策基準と実施手順は外部に公開しません
それぞれの階層についてさらに詳しく紹介します。
対策方針(ポリシ)
基本方針では、「なぜ私たちが情報セキュリティに取り組む必要があるのか」といった観点から、経営層が必要性を説く宣言文です。
社会的背景や用例遵守の観点から基本理念を表明します。
組織内における情報セキュリティに関する憲法のような役割を果たすため、ほとんど改訂しません。
基本理念・目的
組織が情報セキュリティに取り組む姿勢を表明します。
「全ての従業者が守るべき包括的な基準として情報セキュリティポリシを策定する」
役割・位置づけ
情報セキュリティポリシが何であり、どんな役割を持っているかを記載します。
「情報セキュリティポリシは、情報セキュリティ対策文書の最高位に位置し、全ての従業者の指針となる役割を果たす」
見直し・改訂
見直しと改訂を定期的に行う事を宣言します。
「情報セキュリティポリシの見直しを定期的に行い、将来にわたり維持するものとする」
適用対象範囲
適用される対象と範囲を示します。
「会社が作成した文書・会社以外から入手した情報・個人情報を含む」
「すべての従業者に適用する。従業者には経営層・正社員・派遣社員・アルバイトを含む」
評価
自組織で行う自己点検・第三者による情報セキュリティ監査を行う事を宣言します。
罰則
情報セキュリティポリシや関係規定に違反した場合に罰則があることを宣言します。
「違反した場合、就業規則・契約書にしたがって処分の対象となることがある」
対策基準(スタンダード)
対策基準では基本方針に基づいて記述された具体的なルールや規定を定めます。
これを管理策と言います。情報セキュリティ対策基準を最初から作成すると作業量も多く作業が大変です。
そのため既存の管理策集や対策基準をひな型として、組織の実情に合わせて随時書き換えていく方法がとられます。
この手法をベースラインアプローチと呼びます。
具体的なひな型には
- JIS Q 27002・・・国内規格であるJISで、国際基準であるISO/IEC 27002を翻訳したもの。多くの組織が対象
- 政府機関の情報セキュリティ対策のための統一基準・・・内閣サイバーセキュリティセンターが策定。省庁などの政府機関が対象
- 地方公共団体における情報セキュリティポリシに関するガイドライン・・・総務省が策定。地方公共団体が対象
などが用いられます。
実施手順(プロシージャ)
実施手順は、対策基準で定めた管理策を実施するためのマニュアル文書や利用手順書です。
利用者IDやパスワード、各システムのマニュアルやウイルス対策の手順書、外部委託先との契約手順などが該当します。
こちらもひな型を利用し、組織の実情に合わせて内容を書き換えるベースラインアプローチが用いられます。
情報セキュリティポリシ・例題
実際に例題を解いて問題に慣れていきましょう。
問題
問1
組織で策定する情報セキュリティポリシに関する記述のうち,最も適切なものはどれか。(iPass H.26/秋)
ア 情報セキュリティ基本方針だけでなく,情報セキュリティに関する規則や手順の策定も経営者が行うべきである。
イ 情報セキュリティ基本方針だけでなく,情報セキュリティに関する規則や手順も社外に公開することが求められている。
ウ 情報セキュリティに関する規則や手順は組織の状況にあったものにすべきであるが,最上位の情報セキュリティ基本方針は業界標準の雛(ひな)形をそのまま採用することが求められている。
エ 組織内の複数の部門で異なる情報セキュリティ対策を実施する場合でも,情報セキュリティ基本方針は組織全体で統一させるべきである。
問2
IPA”中小企業の情報セキュリティ対策ガイドライン(第2.1版)”に記載されている,基本方針,対策基準,実施手順から成る組織の情報セキュリティポリシに関する記述のうち,適切なものはどれか。(H.30/秋)
ア 基本方針と対策基準は適用範囲を経営者とし,実施手順は適用範囲を経営者を除く従業員として策定してもよい。
イ 組織の規模が小さい場合は,対策基準と実施手順をあわせて1階層とし,基本方針を含めて2階層の文書構造として策定してもよい。
ウ 組織の取り扱う情報資産としてシステムソフトウェアが複数存在する場合は,その違いに応じて,複数の基本方針,対策基準及び実施手順を策定する。
エ 初めに具体的な実施手順を策定し,次に実施手順の共通原則を対策基準としてまとめて,最後に,対策基準の運用に必要となる基本方針を策定する。
解説(クリックで展開)
情報セキュリティポリシ・まとめ
今回は情報セキュリティポリシについて学習しました。
基本方針・対策基準・実施手順それぞれで決めることを押さえておきましょう。
次回はリスクマネジメントについて学習します。
福井県産。北海道に行ったり新潟に行ったりと、雪国を旅してます。
経理4年/インフラエンジニア7年(内4年は兼務)/ライター5年(副業)
簿記2級/FP2級/応用情報技術者/情報処理安全確保支援士/中小企業診断修得者 など
ディスカッション
コメント一覧
まだ、コメントがありません