セキュリティポリシーとは
一般的にセキュリティポリシーとは、組織の情報資産を適切に保護するための統一方針のことを指します。
セキュリティポリシーでは保護すべき情報資産の特定や、保護の目的、及び責任の所在等が明らかにされます。
セキュリティポリシーをもとに、より具体的な内容を記載する基準や、規程、手順等が整備されます。
経済産業省が発表した「サイバーセキュリティ経営ガイドライン」にもあるように、組織のセキュリティ対策については、経営者が主導して推進することが求められています。組織においてセキュリティの基本方針となる「セキュリティポリシー」は経営においても重要なものとなっています。
「サイバーセキュリティ経営ガイドライン」の概要 - 家studyをつづって
セキュリティポリシーとコンプライアンス
コンプライアンス(法令遵守)は、組織が活動を行う際の前提となります。
セキュリティポリシーは、法令や規制に準拠している必要があります。例えば、個人情報の保護に関する主な法規としては「個人情報の保護に関する法律」がありますが、金融機関等においては、「個人情報の保護に関する法律」の具体的な要求事項を示した、金融庁「金融分野における個人情報保護に関するガイドライン」に準拠する必要があります。
https://www.fsa.go.jp/common/law/kj-hogo/01.pdf
セキュリティポリシーを策定することによる効果
- 情報資産の特定、明確化
- 情報資産を保護するためのセキュリティ対策基準の明確化
- 社員の行動基準の明確化
- 情報資産の管理者、責任の明確化
セキュリティポリシー策定の基本的なアプローチ
- セキュリティポリシーの策定
- 情報資産の洗い出し
- 情報資産に対するリスクアセスメント
- セキュリティスタンダードの策定
- 策定したセキュリティポリシーをレビューし、承認を受ける
セキュリティポリシーの策定には、組織の状況を踏まえたうえで対応する必要があります。例えば、 既にいくつかの情報保護規程がある場合、それらを見直し、不足を補いながらセキュリティスタンダードとするようなアプローチ方法も考えられます。
上記の場合では、スタンダードの整備を行っていくなかで会社の基本方針として記述しておくべき重要な内容や基本的事項を抽出していき、最終的にそれらをセキュリティポリシー(基本方針)としてまとめるという策定するという方法もとることができます。
セキュリティポリシー記載内容の例
・経営者の意思
・情報資産について
- 情報資産の定義と分類
- 情報資産の利用方法
- 情報システムのセキュリティ対策基準
・セキュリティ管理体制について
- 全社、各部門のセキュリティ管理体制
- セキュリティの監査体制
・社員の義務について
- セキュリティ教育
- 罰則
・外部委託に関して
- 契約の締結
- 安全対策の確認
・コンプライアンスについて
セキュリティスタンダードの項目例
| 大分類 | 内容 |
| 組織体制 |
セキュリティ管理体制の明確化 全社のセキュリティ管理 部門のセキュリティ管理 |
| 情報システムの管理 |
情報システムの管理者 開発・運用管理 オペレーション管理 ソフトウェア管理 ハードウェア管理 ドキュメント管理 資源管理・廃棄 障害管理 要員管理 |
| 物理的な管理 |
設置場所に関するルール サーバー等設置場所の入退館、入退室管理 |
| 論理的な管理 |
アクセスルール 不正アクセス検知策 特権IDの運用 |
| ユーザー管理 |
ユーザーの権利と義務の明文化 ユーザー登録ルール及び使用ルールの明確化 教育・啓蒙 |
| コンプライアンス | 関連する法令 |
| 例外の規定 |
例外を認めるケース 例外扱いの手順 |
| 監査 | 監査への対応 |
| 違反時の対応 | 罰則 |
| 事故等の報告義務 | 事故等の報告 |
| 重大な災害への対応 |
コンティンジェンシープラン バックアップセンター |
| ネットワークの管理 |
ネットワークの管理と運用 ネットワークの障害対策 ネットワークの監視 不正アクセス対策 データ保護(暗号化・改ざん対策) 外部接続管理 プロバイダの選定基準 電子メール Web閲覧 インターネットの監視 情報公開のルール |
| アウトソーシング(外部委託) |
アウトソーシング先の選定基準 アウトソーシング先の管理 |
その他参考にさせていただいた情報
