突然ですが、情報セキュリティポリシーって何かご存知でしょうか?簡単に言うと会社の情報セキュリティに対する考え方や行動指針のことです。
近年サイバー攻撃などITのセキュリティ不備を狙った事件が大企業だけでなく中小企業や個人事業主にも起きていて、情報セキュリティ意識を高める必要があり国を挙げて取り組んではいるものの、あまり浸透しておらず…。
多くの企業では情報セキュリティポリシーを制定していないこともあり、この記事では情報セキュリティポリシーについて詳しく書いていきたいと思います。
情報セキュリティポリシーとは
企業や組織が情報セキュリティを維持するための全体的な指針や方針を定めたルールのことで、たとえば「サイバー攻撃から機密データや個人情報を守るために、こんな防御策を講じていますよ」というように宣言したもののことです。
サイバー攻撃による被害が増加している現代社会において、企業運営のためのルールづくりとして欠かせないものの1つになっています。
セキュリティポリシーには決まった定型文はありませんが、一般的には社内やお客様の情報データを守るために必要な、「組織全体の情報運用方針」、「情報セキュリティに対する考え方」、「具体的な運用規定、対策基準」といった項目を記載します。場合によっては、理念的なものを超えて、具体的な内容にまで踏み込んだものも少なくありません。
情報セキュリティポリシーを作る意味
情報セキュリティポリシーを策定する意味・目的としては、企業の情報資産を情報セキュリティの脅威から守ることにほかなりません。
情報セキュリティポリシーの導入や運用を通して従業員の情報セキュリティに対する意識の向上だけでなく、取引先や顧客からの信頼性の向上といった二次的なメリットを得ることもできます。
情報セキュリティポリシーの策定といっても、設備や仕組みを整えるだけでなく、組織の意識を高めることにつながります。
情報漏えい事件の多くは、組織内部の人為的なミスが原因と言われていますので、「どのような情報を」「どのような理由で」「どのようにして」守らないといけないのか、自分たちで考えて決めることにより、セキュリティに対する意識自体が高まります。
情報セキュリティポリシーのデメリット
ここまで情報セキュリティポリシーの策定について説明してきましたが、大きなメリットはあれど、デメリットはあるのでしょうか。
例えば、情報セキュリティポリシーに「セキュリティ対策をしっかり行っています」といった文面の記載があるかと思いますが、その延長線上の施策として、PCのセキュリティ対策のためにUSBメモリの使用を禁止するとした場合、USBを介した情報漏えいやウイルス感染によるセキュリティは担保されますが利便性がなくなり、業務効率が著しく損なわれてしまいます。
情報セキュリティポリシー自体のデメリットではありませんが、セキュリティ対策と業務効率は表裏一体の面が少なからずありますので、このあたりは業務との兼ね合いでルール策定が必要になります。
情報セキュリティポリシーの作り方
情報セキュリティポリシーを策定し運用するには、まず社内の責任者を明確にする必要があります。そして、情報セキュリティポリシー策定に携わる人材を組織化することが次に必要になります。
情報セキュリティポリシーを作ってもただの箱になってしまうのか、それとも機能するのかは、この組織の活動内容が大きく影響します。
会社や組織の実情や、現在の社会状況に見合った情報セキュリティポリシーを策定・運用するためには、適切な人材を確保する必要があります。
さらには、情報セキュリティポリシーの品質を高めるには、外部のコンサルタントや法律の専門家に参加を依頼することも一つの手段です。
ただし、外部のコンサルタントに策定の全てを依頼することはやめましょう。組織内の社員が自らの手によって情報セキュリティポリシーを策定しなければ、その企業や組織に適した内容にすることが困難であるためです。
情報セキュリティポリシーを作った後が大事
ここまでで情報セキュリティポリシーの考え方は終わりなのですが、いちばん大事なのが情報セキュリティポリシーを作った後の運用になります。
すべての社員や職員が遵守するからこそ、情報セキュリティポリシーに意味があり、情報セキュリティ対策が効果的になります。そのような情報セキュリティに対する意識を社員や職員一人一人に啓発することが、企業や組織における大切な情報セキュリティ対策のひとつなのです。
ですので、情報セキュリティポリシーを作ったら、それをもとに社員教育を行いましょう。情報セキュリティ担当者の立場としては、あくまでも「自社のどのような情報資産をどのような脅威からどのように守るのか」という目的を忘れないことが大切です
コメント