セキュリティポリシー策定講座(2)

●セキュリティポリシーは誰が策定するのか

セキュリティポリシー策定は経営トップがリーダシップを発揮して進めていかなければならない。まずは最新の情報セキュリティ事件（個人情報漏えい、ウェブサイト攻撃、不正アクセスなど）を元に情報セキュリティに注意を払わないと企業にどういうリスクがあるか経営トップへの説明がスタートとなる。経営トップが情報セキュリティの必要性を理解、納得することが第一である。

経営トップの理解が得られたら、情報セキュリティ委員会を設置する。委員には各部門から代表者を出してもらい、委員長には決裁権を持つ役員を任命する。ただし情報システム部門がある会社では、どうしてもデータベースや情報管理の実績から情報システム部門が主導する形になりがちである。情報セキュリティで守るべきは人、物、金と同じ位置づけになる『情報資産』である。情報システム部門も他の部門と同じ扱いとし、会社全体の『情報資産』を守るという意識付けが情報セキュリティ委員会には必要となる。

実作業としてセキュリティポリシーを策定していくのはこの情報セキュリティ委員会となる。

【水谷IT支援事務所・所長、AllAbout「企業のIT活用」ガイド　水谷哲也】
　http://allabout.co.jp/career/corporateit/

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
https://www.netsecurity.ne.jp/14_3697.html