情報セキュリティのための「方針群」とは｜付属書A管理目的及び管理策

今回から「適用宣言書」に加えることを検討すべき管理策の一覧、「附属書A管理目的及び管理策」の説明に入ります。

ある程度システム知識が必要な項目も含まれるため、システム担当者がいない組織などでは“コンサルタント任せ”になりがちなのですが、セキュリティレベルの維持には欠かせないものですので、しっかりと確認を行うようにしましょう。

また、ISMSの取得をせずとも、付属書A管理目的及び管理策自体がセキュリティ対策の良い参考となりますので、内容を理解することは大きなメリットと言えます。

情報セキュリティのための方針群

さて、最初にでてくるのが「情報セキュリティのための方針群」の項目です。実際ISMS審査で伺うと、この項目から誤解をしてしまっている組織が多く見受けられます。誤解とは「“情報セキュリティ基本方針”に則して、定期的にレビューを行っていれば良い」と判断してしまっているというものです。

項目名にあるよう、ここで定めなければならないものは「情報セキュリティ方針“群”」です。「情報セキュリティ基本方針」のみではなく、その他にも様々な方針が必要となるのです。

具体的な方針とは

例えば、「附属書A管理目的及び管理策」に記載の方針だけでも下記６方針が挙げられます。

モバイル機器の方針
アクセス制御方針
暗号による管理策の利用方針
クリアデスク・クリアスクリーン方針
セキュリティに配慮した開発のための方針
供給者関係のための情報セキュリティの方針

これら方針“群”を管理し、知る必要のある者へ通知し、レビューを行い、必要であれば改定していくことが求められます。

今後はSNS利用方針も必須

また、方針は「管理目的及び管理策」に記載のものだけとも限らないという点にも注意が必要です。

一例として、昨今では欠かせないSNSの利用方針が挙げられます。まず、組織の広報活動にfacebookやtwitter等を使っていればこの項目は必須です。不用意な書き込みは組織のブランドイメージを著しく損ないますから、どのような書き込みをしていくか、どのような書き込みは禁止するか、基本方針を定めておくべきでしょう。

組織として活用していない場合でも、従業員が個人のSNSで不適切な書き込みをすれば、すぐさまネット上で個人の特定が行われ、勤務先にまで問い合わせが殺到する事態となるでしょう。

電凸（電話をかけて組織としての意見を問いただす行為）により、業務に著しく支障を来すケースも多発しています。従業員に対する利用方針の提示または教育も必要と言えます。

まとめ

SNSの問題を始め、情報セキュリティを取り巻く環境は、日々変化しています。

これら全てに対応する為には、2013年に公開された「附属書A 管理目的及び管理策」に記載されている方針だけでは当然不足となってくるはずです。きちんと方針群を定める企業であれば、2016年からはは「マイナンバー取扱基本方針」も含まれていることでしょう。

この様に具体的な方針群を定め、定期的にレビューし、過不足がないか確認していく…これが、「付属書A 管理目的および管理策」の最初に上げられている項目の正しい解釈なのです。管理策は“情報セキュリティリスクを低減させるもの”です。この理解が間違っていると、セキュリティホールが残り、重大なインシデントにもつながりかねません。

次回は、情報セキュリティのための「内部組織」について解説します。