セキュリティポリシーとは?

セキュリティポリシーという言葉、よく耳にすると思いますが、その意味や必要性はご存じでしょうか?セキュリティポリシーとは、情報セキュリティに対する方針を示したものです。具体的には、

  • 組織において情報資産をどのように取り扱うか
  • どのように守っていくか
  • 情報セキュリティを守るためにどのような組織を作るか
  • どのように情報セキュリティを運用していくか

などがまとめられています。JIS規格では「セキュリティ基本指針」という名称がついています。

企業の情報セキュリティ基本方針策定や必要性について

方針と基準を定めるにおいてまず重要なのが、「自分たちがどのような情報を扱っているか」を明確にすることです。例えば個人情報や企業情報、社内でのやりとりなど、セキュリティを考える上で大切な情報の種類はさまざまですが、そのそれぞれに対して誰がどのように扱い、悪意のある攻撃や侵入などに対してどのように防御し、その防御が機能しているのをどのように誰が確認していくのか。そして、以上を鑑みて策定されたセキュリティポリシーに則って、情報が運用されているかどうか。そこまでを確認して初めて、「セキュリティポリシーが運用されている」という言い方をします。計画を練り、行動し、確認し、改善する。いわゆるPDCAサイクルをもって運用を行い、見直しを図っていくことが重要です。

最後に

セキュリティポリシーを考える上で重要なことのもう一つは、公の機関が出しているような規格に基づいた運用を、自分の所属する組織に完全にあてはめるのではなく、柔軟に適用させていくことです。基本的に公の機関のものは非常に厳重なものが多いため、そのまま自社にあてはめるとそのポリシーに縛られて運用に混乱をきたしたり、業務自体に支障が発生する事態が起きたりことも否めません。もし業務に対する阻害が出たのであれば、そのセキュリティポリシーではどのような問題が起き、どう改善すればいいのか。また、セキュリティレベルを変更する事に対し、他の運用でカバーすることができるか。その結果、情報漏洩(ろうえい)が起こらないという確証がとれるか。それらをクリアにし、業務に則したものにセキュリティポリシーを最適化するよう上長を説得する必要があります。そこまでが、シスアドや情報管理責任者に求められる、セキュリティポリシーの策定の能力です。現場の声を聞き、しっかりと話し合いながら、現実の業務に則した方針を固めていくことが重要です。