情報セキュリティポリシー策定のポイントとサンプル例文集と策定しないリスクとは?|サイバーセキュリティ.com

情報セキュリティポリシー策定のポイントとサンプル例文集と策定しないリスクとは?



情報セキュリティポリシーとは、企業や組織が情報セキュリティを保つための全体的な指針や方針を定めたルールです。企業がセキュリティ体制を構築する上で欠かせませんが、「どうやって作ればいいかわからない」方も多いようです。

この記事では、その情報セキュリティポリシー策定の手順やポイントを紹介します。情報セキュリティポリシーの策定に必要な情報を解説しますので、ぜひ参考にしてみてください。

相談無料情報セキュリティポリシー策定サービス 

情報セキュリティポリシーを策定する上で必要なこと

情報セキュリティポリシーは、企業・団体の状況に見合った内容でなければいけません。事業内容や扱う個人情報の種類、社内ITインフラ環境などの違いによって、適切なセキュリティ対策も異なるからです。同業他社が公開している情報セキュリティポリシーを、そのまま自社に転用するのは避けましょう。

自社の状況に最適な情報セキュリティポリシーを作るためには、策定に必要な体制作りがはじめの一歩です。

策定のための体制作り

策定のための体制を作る際は、最初に責任者を明確にします。その上で、策定に関わる適切な人材を確保し「情報セキュリティ委員会」などの組織を立ち上げましょう。組織に参加する人材は、情報資産に関する脅威や組織の現状を正しく理解していることが求められます。組織内の人員のみで体制を構築するのが困難な場合、組織外の法律専門家やコンサルタントに依頼しても良いでしょう。

ただし、組織外のメンバーのみで体制を構築するのはおすすめしません。情報セキュリティポリシーは、組織の状況に適した内容にする必要があります。組織内のメンバーがいなければ、自社にふさわしい内容の策定が難しくなるためです。外部に協力を求める場合は、アドバイザーなどの形で携わってもらいましょう。

実施サイクル

情報セキュリティポリシーを策定する際に、点検や見直しの実施サイクルも計画しましょう。情報セキュリティポリシーは、一度策定して提示するだけではあまり意味がありません。情報セキュリティポリシーは、定期的に内容をチェックして改善を重ねることが重要です。

以下の表に、総務省が提示する(※1)実施サイクル(PDCAサイクル)を一部抜粋してまとめます。

計画

組織の情報資産や課題を明確にし、情報セキュリティポリシーを策定する

導入・運用

社内全体に情報セキュリティポリシーを周知し、意識向上・ルール遵守を図る

点検・評価

情報セキュリティポリシーの内容が、時代や組織の現状に適しているか定期的に評価する

見直し・改善

点検・評価の内容をもとに、情報セキュリティポリシーを見直して改善する

上記の実施サイクルを繰り返すことで、適切な情報セキュリティポリシーを保てます。そのため、実施サイクルを行える体制の構築が欠かせません。

※1 出典総務省「情報セキュリティマネジメントの実施サイクル

セキュリティポリシーに盛り込むべき内容

セキュリティポリシーには、不正アクセスから自社システムを守るために必要な内容の盛り込みが求められています。

まず、「基本方針」と「対策基準」の2つを『情報セキュリティポリシー』として整理します。さらに、「実施手順」に個別対策などを盛り込んで『細則』として肉付けする形が一般的です。

  • 基本方針 → 組織全体での理念や指針
  • 対策基準 → 基本方針を実現するための規則
  • 実施手順 → 対象者や運用手続きの明確化

図に表すと下記のようになります。

それでは各要素を細かく見ていきましょう。

基本方針とは?

「基本方針」は、セキュリティポリシー全体の羅針盤とも言うべき、組織における情報セキュリティ全体の指針や方針です。

「どうしてサイバーセキュリティが必要なのか」
「情報資産を守るためにどのような方針を採るのか」

こうした文章を盛り込むことが求められています。セキュリティポリシーの中でも最も表題的、理念的な部分になり、続いての対策基準や実施手順の方向性を決定付ける重要な項目です。

対策基準とは?

「対策基準」には、実際に導入する情報セキュリティ対策について、具体的な部署やシステム別にガイドラインを記載します。

  • システム開発ガイドライン
  • サーバ運用ガイドライン
  • アウトソーシング契約ガイドライン

基本方針に従って、各ガイドライン別に情報セキュリティ保護策や基準を決定します。基本方針よりも詳しく、「どういった行為は許可されるのか / してはいけないのか」といったラインを明示しましょう。また、違反した場合の罰則規定も設けます。

実施手順とは?

「実施手順」は、実施すべき情報セキュリティ対策を具体的に記します。実際の業務フローにおいて参考となるマニュアルを作りましょう。

マニュアル作成には、セキュリティ担当者だけでなく、各部署の従業員ごとの作業について詳しい項目が必要です。従業員の個別オペレーションにおいて、自社の情報資産が守られるように定めます。たとえば、以下の例が挙げられます。

    • 電算室に入室する際のアクセス権限
    • セキュリティソフトの導入手順
    • システムの正常稼働を確認する方法

このように、各業務ごとの具体的なマニュアルを提示します。

セキュリティポリシーの策定手順

前述の通り、情報セキュリティポリシーの策定は体制づくりからスタートさせます。具体的には、次の手順で情報セキュリティポリシーを策定しましょう。

  1. 情報セキュリティポリシー策定の体制確立
  2. 守るべき情報資産の洗い出し
  3. 策定スケジュールの設定
  4. 基本理念となる「基本方針」の決定
  5. 脅威やリスクの分析にもとづいた「対策基準」の策定
  6. 部署・作業ごとのマニュアルとなる「実施手順」の策定

上記手順は、必要に応じて外部機関や顧問弁護士の助言を受けると良いでしょう。

情報セキュリティポリシー策定の文章例

効果的な情報セキュリティポリシーの策定には、いくつかのポイントを抑えた記述方法が大切です。ポイントごとに、文章例を見ていきましょう。

ポイント1:守るべき情報資産の明確化

守るべき情報資産の定義付けは、情報セキュリティポリシーの重要な指針です。どれほど強固なセキュリティであっても、「いったい何を守るのか?」が具体化されていなくては充分な成果が期待できません。

文章例

「情報セキュリティポリシー」は自社の情報資産を、人的・物理的・環境的なリソースと定義付けする。またシステム範囲については、下記の一覧に記載する…

守るべき情報資産の範囲を明示することで、各セキュリティ対策が機能を発揮します。また、図表やグラフを使った表現方法も効果的です。

ポイント2:適用対象者の範囲を定める

情報セキュリティポリシーを守るべき人についての記載も大切です。基本的には、自社従業員が対象となります。必要に応じて、アウトソーシングや子会社で働く人についても触れましょう。

文章例

本規定の適用対象者は、代表者及び役員、従業員とする。また、業務委託契約及び出向命令等により、自社システムを扱う子会社従業員及び外部委託者も、その業務の範囲に限り対象者となる。

「誰が適用されるのか?」は非常に重要です。対象者の役職や地位によって適用範囲が異なる場合は、その旨を併記します。

対象者が多い場合は、箇条書きや図表を用いて整理すると良いでしょう。読み手に伝わりやすく工夫すれば、情報セキュリティポリシーの理解度も向上します。従業員の情報セキュリティ意識は自社のセキュリティ体制に関わるため、わかりやすい文章や表現が欠かせません。

ポイント3:できるだけ具体的に規定する

情報セキュリティポリシーが抽象的な表現だと適用基準が曖昧になり、形骸化を招きます。予防策として、できる限り記載内容を具体化させましょう。

文章例

パスワードの設定・変更は以下の通りと定める

  1. 最低8文字以上で構成すること
  2. 英語及び数字を各1字含むものであること
  3. 設定したパスワードは2か月に1度変更すること

上記「パスワード変更」の運用手順の例文は、設定及び手順について具体的なルールが定められています。単に「パスワードを変更しましょう」と訴えるより、高度なセキュリティ対策効果を期待できます。

サンプル例文リンク集

情報セキュリティポリシーサンプル改版(1.0版)

JNSA(日本ネットワークセキュリティ協会)が公開している情報セキュリティポリシーサンプルです。

スマートデバイスやクラウド、SNSといった新しい技術やサービスの登場にも対応しています。

2002年に作成されたサンプルを2016年3月29日に改定しており、2022年現在も多くの企業が参考としています。

サイト情報セキュリティポリシーサンプル改版(1.0版)

中小企業の情報セキュリティ対策ガイドライン

IPA(情報処理推進機構)公開の中小企業向けガイドラインです。

付録として「情報セキュリティ関連規程(サンプル)」を配布しており、Wordファイルでダウンロードしてそのまま利用できます。

一から情報セキュリティポリシーを策定するのが難しい場合、こちらのサンプルを参考にしてみてはいかがでしょうか。

サイト中小企業の情報セキュリティ対策ガイドライン
参照<ツールB>情報セキュリティポリシーサンプル(全50ページ、161KB)(word)

教育情報セキュリティポリシーに関するガイドライン

文部科学省が公表している情報セキュリティポリシー資料です。

教育機関を対象に作られており、多くの個人情報を取り扱い厳重な管理が求められる組織の参考になります。

ガイドラインの内容を詳しく解説するハンドブックも発表しているため、合わせて参考にしてみてください。

サイト教育情報セキュリティポリシーに関するガイドライン
参照教育情報セキュリティポリシーに関するガイドラインハンドブック

情報セキュリティポリシー策定時の注意点

情報セキュリティポリシーを策定する際は、以下の注意点に留意しましょう。

  • IT担当者だけでなく組織の代表・役職者も携わる
  • 情報セキュリティポリシーの対象者や、守るべき情報資産を明らかにする
  • あいまいな表現は避け、具体的に記述する
  • 運用・維持体制や社内の状況を考慮し、実現不可能な項目は設けない
  • 違反行為の罰則規定を設け、形骸化を防ぐ

上記のポイントを守り、適切な情報セキュリティポリシーを作りましょう。また、作成後は、実施サイクル(PDCAサイクル)を回して常に最新状態を保つことも大切です。

セキュリティポリシーを策定しないリスク・危険性 とは

もし情報セキュリティポリシーがなければどうなるのでしょうか。ここでは、情報セキュリティポリシーが策定されない場合の危険性について考えてみましょう。

情報セキュリティポリシーがなければどうなる?

企業や組織が情報セキュリティポリシーを持たない場合、どういったことが起こるのでしょうか。例えば、以下のようなことが想定されます。

  • 情報の管理があいまいになる
  • 管理があいまいなため情報漏えいのリスクが高まる
  • パソコンやサーバーなどの情報機器が適切に管理されない
  • ネットワークが外部から安全に守られない
  • セキュリテイ事故発生時に適切な対応が取れない
  • そもそも従業員のセキュリティ意識が高まらない

など

少し考えてみるだけでも、いくつか思い浮かぶと思います。このように、セキュリティポリシーが無いといろいろと困ったことになります。

どんな被害が起こりうる?

セキュリティポリシーが無いと、いろいろと問題が起こってきますが、それが犯罪などの被害につながることもあります。

例えば、以下のようなものです。

  • 管理外のUSBメモリからの情報漏えい
  • パソコンや情報機器の紛失による情報流出
  • コンピュータウィルス等の感染被害
  • ウェブサイトの改ざん
  • 内部ネットワークへの不正アクセスやデータの改ざん、流出

など

また、従業員のセキュリティ意識や、ITリテラシーなどが高まらないため、さらに上記の問題での情報漏洩やマルウェア感染などの可能性が高いと言えます。

このように、情報セキュリティポリシーが無いことによって、社内の情報機器やデータが正しく管理できなくなるだけでなく、それに伴って外部への情報漏えいなどの恐れも出てきます。加えて、内部ネットワークへの不正アクセスや、それに伴う情報の改ざんや不正取得などが発生する恐れがあります。

こういったことが起こると、「企業としての信用の低下」「受注の減少」など経営的な影響だけでなく、訴訟による補償など大きな問題に発展する可能性もあります。

また、実際にセキュリティ事故が発生した場合にも、情報セキュリティポリシーが無いことで問題が起きてきます。それは、問題に迅速かつ適切に対応するための「対応の流れ」「体制」が規定されていないため、対応が出来ないということです。セキュリティ事故に迅速に対応できないということは、被害の拡大につながります。

こういったさまざまなことから、セキュリティポリシーが無いことは大きなリスクであることがお分かりいただけると思います。

災害などの際にも意味がある

情報セキュリティポリシーが無いことで、情報機器やデータの適切な管理が行えない、情報を外部の脅威から守ることが出来なくなるといったことは事実です。

しかし、情報セキュリティポリシーには、もう一つ忘れてはならない側面があります。それは災害時に果たすべき役割です。大規模災害やパンデミックのような大規模感染などのケースの場合、情報システム部門として担当すべきことは「業務システムの回復・継続運用」と「情報システムにおけるデータ破損や流出の防止」です。そして、このことは、企業が継続して業務サービスを行っていく上で欠かせないことです。

これらの内容は当然情報セキュリティポリシーに明示されているべきことで、ここに規定されていれば、実際に発生した場合であっても迅速かつ適切な対応が取れるようになります。

情報セキュリティポリシーが策定されていない場合、どういったリスクや危険性があるのかということを整理しましたが、情報セキュリティポリシーがない場合、単に情報機器やデータの管理が適切に行えないというだけに留まらず、それが最悪の場合は重大なセキュリティ事故の発生、そして企業の信頼の失墜など経営に関わる大きな問題に発展する可能性があることがお分かりいただけたのではないでしょうか。

企業活動を行う上で、今やIT技術は欠かすことの出来ないものとなっています。しかし、便利な反面で適切な利用と管理を怠ると大変なリスクがあるのがIT技術です。情報セキュリティポリシーは、改めてIT技術を適切に利用する上で欠かせないものであるということを理解しておくことが大切です。

まとめ

情報セキュリティポリシーは、企業の情報資産を守るために必須です。策定する際は、まずは導入・運用のための体制づくりが必要になります。体制づくりの後は、基本方針・対策基準・実施手順の3つを軸に内容を構築し、自社に適した情報ポリシーを定めましょう。自社による作成が難しいのでれば、外部のコンサルタントに依頼してみてはいかがでしょうか。


セキュリティ対策無料相談窓口


「セキュリティ対策といっても何から始めたら良いかわからない。」「セキュリティ対策を誰に相談できる人がいない。」等のお悩みのある方、下記よりご相談ください。

無料相談はこちら

SNSでもご購読できます。