経営者の方情報セキュリティマネジメントとPDCAサイクル

本文を印刷する

情報セキュリティマネジメントとPDCAサイクル

情報セキュリティポリシーの策定

PDCAサイクルの、P:Plan(計画)は、情報セキュリティマネジメントを確立するための計画段階にあたり、その代表が情報セキュリティポリシーの策定です。(1)組織・体制を確立し、(2)基本方針を策定し、(3)守るべき情報資産を把握、分類し、(4)その情報資産のリスクアセスメントを行い、それにより自身の情報セキュリティにおける脅威と脆弱性とリスクを見極め、(5)それに応じた導入対策(管理策)を取捨選択し、(6)対策基準を策定し、(7)対策基準の周知徹底を行なうとともに、(8)実施手順を策定します。

情報セキュリティポリシーの策定の流れ
情報セキュリティポリシーの策定の流れ

情報セキュリティポリシーの文書構成

情報セキュリティポリシーの文書構成は、特に決まりはありませんが、「情報セキュリティ基本方針」「情報セキュリティ対策基準」「情報セキュリティ実施手順」の3 階層の文書構成をとるのが一般的です。

基本方針で定められた内容が、対策基準、実施手順と段階を追って具体化されていきます。このトップダウン型の文書構成が、組織の意思決定構造と一致するため、採用されるケースが多かったと考えられます。なお、基本方針をポリシー、対策基準をスタンダード、実施手順をプロシージャーと呼ぶこともあります。この3階層のどれを情報セキュリティポリシーと呼ぶかについて定められているわけではありませんが、通常、基本方針と対策基準の2つをセキュリティポリシーとするケースが多いようです。

情報セキュリティポリシー

基本方針は、組織の経営者が、「情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を社内外に宣言するものです。「なぜセキュリティが必要か」という「Why」について規定し、何をどこまで守るのか(対象範囲)、誰が責任者かを明確にします。また、業界標準、該当する法令、政府規制への準拠を宣言する場合があります。

対策基準は、基本方針で作成した目的を受けて、「何を実施しなければならないか」という「What」について記述します。組織的に情報セキュリティ対策を行うためのルール集で、人事規程や就業規程などの類の企業の構成員が守るべき「規程類」に相当します。実際に守るべき規程を具体的に記述し、適用範囲や対象者を明確にします。

実施手順は、対策基準で定めた規程を実施する際に、「どのように実施するか」という「How」について記述します。マニュアル的な位置づけの文書であり、詳細な手順を記述します。

基本方針や対策基準は組織の最終的な意思決定者である経営者レベルが関与し、情報セキュリティの全社的な組織であるセキュリティ委員会などで策定、承認及び見直しも行います(現実の作業はワーキンググループや情報セキュリティ部門で行い、承認を情報セキュリティ委員会で行うこともあります)。
一方、実施手順は情報システム毎、あるいは部門毎に作成・管理され、各部門の部門長が承認者であることが一般的です。