isms

－情報セキュリティポリシの重要性－主に企業をとりまく様々な脅威から、情報資産を保護するにあたって、その企業全体が統一された一つの意識（方針）に基づいて情報セキュリティのために行動することが求められています。たとえ、部分的に範囲の狭まれた高度なセキュリティ対策を実施しても、他の部分にセキュリティ対策が実施されておらず大きな脆弱性が存在していると、その最も弱い部分からその企業或いは機関は攻撃を受けてしまいかねません。すなわち、全体的な脆弱性は、最も弱い部分の脆弱性に引きずられると考えるべきです。また、個人やグループごとにセキュリティ対策を策定すると、個々のセキュリティ対策に矛盾が生じる場合が多く、全体として機能しなくなってしまいます。さらに、部門ごとのセキュリティ対策は、セキュリティ対策に必要なコストが部門間で重複してしまい、不要なセキュリティコストが発生してしまいます。部分的にスキ・モレが発生せず、個々セキュリティ対策が矛盾せず、かつ効率的にセキュリティ対策を実施するために、（企業の）全体を一つの方針に従って武装することが求められています。この方針を示す文書のことを「情報セキュリティポリシ」と呼んでいます。

■情報セキュリティポリシの重要性
・企業全体の情報セキュリティレベルを一定以上に保つ
・個々の情報セキュリティ対策の整合をとる
・情報セキュリティ対策に対して効率的に投資ができる

■情報セキュリティポリシの内容と導入効果
企業の情報セキュリティは、すべての関係者が情報セキュリティポリシに基づいて行動することによって初めて確保されるものです。
情報セキュリティポリシは、情報セキュリティを確保するための関係者の規則・行動指針であるとも言えます。情報セキュリティポリシによって、関係者の規則・行動指針を定めることによって、どのような行動をとるべきか・とるべきでないか、事故が発生した場合にどのように対処すればよいかなどを、明確に関係者に伝えることができます。
　●行動指針・規則
　　・情報セキュリティに対する役割と責任
　　・情報セキュリティを実践するための規則
　　・情報セキュリティを脅かす行為に対する企業の考え方
　　・情報へのアクセスに関する好ましい行為・好ましくない行為
　　・情報インフラ上での情報共有のあり方
　●導入効果
　　・許可される行為・許可されない脅威が明確となる
　　・それぞれに適切な権限が付与される
　　・それぞれに責任のある行動が求められる
　　・情報の重要度に応じた適切な投資が行われる
　　・統一基準に基づいて情報のセキュリティレベルが設定される
　　・脅威が現実化した際に、被害を最小化するように効率的・効果的に対処できる

■情報セキュリティポリシへの要求事項
情報セキュリティポリシを策定する際には、トップマネジメント（特に社長や役員クラス）のコミットメントが必要です。また、策定したセキュリティポリシに従って行動するために、関係者全体の合意を形成することも同時に求められます。さらに、情報セキュリティポリシはセキュリティを確保するためのすべての行動（セキュリティライフサイクル）をカバーし、セキュリティ対策を実施する際の明確なガイドラインをして活用できることも求められます。

■情報セキュリティポリシの位置付け
情報セキュリティポリシを確保するための文書体形は、「経営理念・経営戦略」に基づいて、トップマネジメントの情報セキュリティに関する考え方を示す「情報セキュリティ基本方針」、基本方針に基づいて何をどのように守るかを示す「情報セキュリティ対策基準」、さらに対策基準に基づいた具体的な手続きや作業を示す「実施手続き・各種規定類」から構成されます。ここで、基本方針と対策基準の両者を合わせて「情報セキュリティポリシ」と呼ぶことが一般的です。

■情報セキュリティ基本方針の構成
情報セキュリティ基本方針は、経営理念・経営戦略に基づいて、経営者の情報セキュリティに関する考え方を簡潔に謳うもので、情報セキュリティ文書体系の最上位に位置付けられる憲法のようなものです。情報セキュリティ基本方針は、必ず経営者（組織体の長）名で発行・公表されるべき文書で、情報システム部門長等の立場で発行すべきものではありません。情報セキュリティ基本方針には、情報セキュリティ対策の目的・考え方、情報セキュリティ対策の対象範囲、情報セキュリティ対策の
実施体制などを記述します。
　●情報セキュリティ対策の目的・考え方
　　経営理念・経営戦略に基づいて、企業が情報セキュリティ対策を実施する必要性を、経営者の言葉として記述します。情報セキュリティ対策を組み込むことにより、現場での作業効率が低下したり、機密度の高い情報へのアクセスが制限される場合があります。しかし、このようなオペレーション上の犠牲を払ってでも情報セキュリティを確保することが、経営的な視点から重要であることを、従業員やパートナーなどのすべての関係者に理解させる必要があります。
　●情報セキュリティ対策の対象範囲
　　情報セキュリティ対策の対象を、組織・人・場所・事業などの属性から明確にします。
　●情報セキュリティ対策基準の構成
　　情報セキュリティ対策基準は、情報セキュリティ基本方針に基づいて作成され、情報資産をどのように保護するかを判断するための基準です。情報セキュリティ対策基準に基づいて、情報セキュリティシステムが構築され、各種のマニュアル（より詳細な実施ガイド）や説明書などの文書類が作成されます。
　情報セキュリティ対策基準には、情報セキュリティ組織・体制、情報の分類と整理、物理的セキュリティ、人的セキュリティ、技術的セキュリティ、運用、法令遵守、情報セキュリティに関する違反に対する対応、評価・見直しが漏れなく記述されます。