セキュリティポリシー策定講座(3)

●セキュリティポリシーの体系（続き）

・Step2:第４章　セキュリティポリシーの構成と位置付けを規定

第４章でセキュリティポリシー全体の構成と位置づけを規定する。この章も各企業によってあまり違いがでない。

前回の「セキュリティポリシー策定講座(1)」で見たようにセキュリティポリシーの構成は下記の三段階になっている。

情報セキュリティ基本方針
　　　　　　｜
情報セキュリティ対策規程
　　　　　　｜
情報セキュリティ実施手順書等

最初の情報セキュリティ基本方針とは会社として情報セキュリティに関し、どういう基本方針で行っていくか示したものである。次に情報セキュリティ基本方針に基づき各情報セキュリティ対策規程（スタンダード）を決めていく。一番細かくなる情報セキュリティ実施手順書はいわゆる作業マニュアルとなる。細かな情報セキュリティ実施手順書まで作成するのが大変な場合は規程を少し細かめに記述し、手順書を規程に含めてしまい二段階構成にしてしまえばよい。

規程や手順書を策定するのに手間ヒマはかかるが、ひとたび策定することで情報資産に関するリスクを一定レベルで管理することができるようになる。またリスクの発生を抑制することができ、万が一、リスクが発生しても対応しやすくなる。そういった時の対応時間を考えれば、トータルでは手間ヒマをかける値打ちは十分にある。

【水谷IT支援事務所・所長、AllAbout「企業のIT活用」ガイド　水谷哲也】
　http://allabout.co.jp/career/corporateit/

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
https://www.netsecurity.ne.jp/14_3697.html