情報セキュリティポリシーや情報セキュリティ管理に関する規程を定め、それを実践していますか。
(ポリシーや規程は、サンプルのコピーではなく、自組織の事業やリスクを鑑みた内容であることが重要です。また、そうしたポリシーや規程を実践するためには、定めた規程類を関係者に十分に周知させると共に、規程類の順守状況を点検し、必要に応じて見直すことが大切です。)
ポリシーや規程を組織にとって有効なものとするためには、自組織の状況に見合った内容にする必要があります。そのためには、サンプルのコピーではなく、自組織の事業やリスクを鑑みた内容とすることが重要です。また、対策の実効性を確保するためには、定めた規程類を役員や全従業員に対して十分に周知すると共に、規程類の順守状況を適宜点検し、必要に応じて見直すことが大切です。
1.情報セキュリティポリシーや管理規程が策定されているか
2.ひな形、サンプルなどのコピーではなく、組織内での十分な討議や検討を経て、自組織の事業やリスクに見合った内容となっているか
3.ポリシーは全組織をカバーしているか
4.組織の長ないし上級役員が承認しているか
5.全従業者(派遣を含む)や関連する外部関係者に対して周知させているか
6.定期的に見直すための手続を定めているか
7.あらかじめ定められた間隔、または重大な変化が発生した場合に、見直しを実施したか
8.改訂結果について、組織の長ないし上級役員の承認を得て、再度周知したか
9.従業員がポリシーや関連規程類を順守していることを点検・監査するための手続を定めているか
10.組織内の情報セキュリティ対策や情報システムに関する点検や監査の実施を推進しているか
11.情報システムが、業務以外の目的で利用されることを防止するための措置を講じているか
12.情報システムに対し、いわゆるネットワーク検査やモニタリングを行うなどして、ポリシーの実施状況を確認しているか
効果的な情報セキュリティ対策を実現するためには、情報セキュリティに関するポリシーや関連する諸規程を定めて組織内部における統制の方針や手順などを明らかにし、それを確実に実践することが重要です。
そうしたポリシーや関連する諸規程を定めるに当たっては、ひな型やサンプルあるいは他組織の事例などをコピーし、会社名や組織名あるいは役職名などを単純に置き換えるだけでは、自組織に合った効果的な統制を実現することが難しい場合があります。なぜなら、統制のあり方は、組織によってそれぞれに異なるからです。組織の実状に沿ったポリシーや規程類を策定するためには、内部での十分な討議を経て、自組織の業務や組織体制との整合を図っていくことが重要です。
また、組織内カンパニー制を採用して、各部署が独立性を持って事業を営んでいる場合など、特殊なケースを除いて、一般的には組織全体で共通のポリシーとした方が良いでしょう。一緒に仕事をする複数の部署で、それぞれに考え方の異なるポリシーを定めているようだと、情報セキュリティの実現は難しくなります。
そのこととも関連しますが、情報セキュリティポリシーを正しく実践するためには、会社で言えば社長や上級の役員が、ポリシーの策定に関与し、その実現に自ら責任を持つことが重要です。さもなければ、必要なリソースを投入することや、組織全体として必要な約束事を実践することが難しくなります。
ポリシーや規程類を策定したならば、それを関連する従業者(派遣を含む)や外部関係者全員に対して周知、徹底する必要があります。関連する従業員が認知していないポリシーや規程類は、「絵に描いた餅」に過ぎません。加えて、情報セキュリティに関連する事故は、一人の不注意や怠慢から発生し、大きく広がることがあるのです。
また、ポリシーや諸規程は、一度定めたら終わりで未来永劫使い続けられるとは限りません。一般の規程などでもそうですが、関連する法令が変わったり、情報システムに関連する技術が変化したりといった周りの環境の変化に追従していかなければ、せっかく作ったポリシーや諸規程も形骸化してしまいます。特に情報技術の進展はめざましく、1年も経てば情報システムを取り巻く脅威に大きな変化が起こっているかも知れません。こうした変化に対応するためには、ポリシーや諸規程類を定期的に見直すことが必要ですので、見直し自体を規定として定めておき、組織の義務として確実に実施することが望まれます。
既に策定済みのポリシーや規程類については、見直しが必要となっていないか、定期的な見直しが確実に実施されるような規定が含まれているかを確認してください。また、企業合併や組織再編、法改正、事故といった、管理上大きな変化があった場合にも、その都度見直しが実施されるような規定が含まれていることが望まれます。
そうした規定に沿って改訂を実施した結果についても、最初のポリシーや規程類の策定時点と同様に、やはり組織の長や上級役員の承認を得ること、従業員に再度周知、徹底することが重要です。
さらに、従業員によるポリシーや関連規程類の順守を確認することにより、ポリシーや規程を実効的なものとすることも重要です。たとえば、インターネット上の掲示板への不適切な書込みや、業務とは無関係のWebサイトからのスパイウエアなどの不正なプログラムダウンロードを防止するため、従業員が組織のPCを業務以外の用途に使用することがないようポリシーや規程で明示しておくことが望まれます。その場合、ポリシーや規程類に則って、組織内の情報セキュリティ対策の実施状況や情報システムの設定・管理などについて点検や監査を行うこと、また、情報システムに対していわゆるネットワーク検査やモニタリングを実施することで、ポリシーの実施状況を確認しておくとよいでしょう。なお、情報システムを監査するツールは悪用されると危険であることから、開発及び運用システムとは分離し、権限のない従業者には触れさせないようにしておくことが望まれます。