社内セキュリティポリシー策定

情報セキュリティポリシーとは、企業において情報セキュリティ対策の方針や行動指針のことです。
情報セキュリティポリシーには、社内規定といった組織全体のルールから、どのような情報資産をどのような脅威からどのように守るのかといった基本的な考え方まで情報セキュリティを確保するための体制、運用規定、基本方針、対策基準などを具体的に決めて運用します。

情報セキュリティポリシーを作成する目的は、企業の情報資産を情報セキュリティの脅威から守ることが第一。そして、その導入や運用を通して社員の情報セキュリティに対する意識の向上を促します。
結果的に取引先や顧客からの信頼性の向上といった二次的なメリットを得ることもできます。
また万が一、インシデントが発生した場合にも、あらかじめ情報セキュリティポリシーにより、※行動指針を決めておくことでより迅速に対応することができます。

※インシデント発生対応マニュアルとして別途作成する場合もあります。

情報セキュリティポリシーを策定する際にもっとも大切なことは、担当者、体制、手順をあらかじめ検討しておくということです。また、情報セキュリティポリシーは、企業や組織の代表者が施行するものであるため、可能な限り、代表者や幹部が策定の作業自体にも関わるような体制を作ることが重要です。

策定の手順は概ね以下となります。

１．策定の組織決定（責任者、担当者の選出）【弊社】
情報セキュリティポリシー策定において担当すべき方のアドバイスをいたします。

２．目的、情報資産の対象範囲、期間、役割分担などの決定【御社・弊社】
弊社からこれらを抽出、決定する方法をお伝えしますので、御社にて実行いただき最終的に両者ですり合わせて決定いたします。

３．策定スケジュールの決定【弊社】

４．基本方針の策定【御社】

５．情報資産の洗い出し、リスク分析とその対策【弊社】
【２】で得られた情報を基に弊社にて作成いたします。

６．対策基準と実施内容の策定【御社・弊社】
最終的に両社にて確認・決定いたします。

策定時の留意事項

効果的な情報セキュリティポリシーを策定するには、以下の点に留意する必要があります。

１．守るべき情報資産を明確にする。
２．対象者の範囲を明確にする。
３．できる限り具体的に記述する。
４．社内の状況を踏まえて、実現可能な内容にする。
５．運用や維持体制を考慮しながら策定する。
６．形骸化を避けるために、違反時の罰則を明記する。

情報セキュリティポリシーは策定すれば終わりではありません。多くの企業で、策定はしたが実際の現場ではおざなりになっているケースや、策定してから大分時間が経ち、現状に合っていないなど運用に問題があるケースが散見されます。

※運用については例えば下記のようにスケジュール、回数など数字を決めて細かく指定するのが望ましい。

（運用例）
・経営層による年１度の基本方針確認
　⇒変更がないかの確認、もしくは会社の方針や組織体制に変更があった場合はセキュリティポリシーも併せて変更
・情報システム担当による年一度の情報資産台帳の確認
　⇒情報資産台帳が最新の情報に維持されているか確認
・新入社員向け研修に情報セキュリティポリシーを組み込む
・全社員向けに年一度のセキュリティ研修を実施


経営者は策定した情報セキュリティポリシーを、確実に社員に実施させるため繰り返し教育をしまたこまめなメンテナンスも怠ってはなりません。

情報セキュリティポリシー例

ポリシーの目的
ポリシーの適用範囲
ポリシーの適用対象者
体制及び構成と役割
ポリシー文書構成
ポリシー監査
ポリシー違反発見時の対応
・・・・・・・・・・・・
対策基準 　　　　　　　　　実施手順
入退出の管理基準＝＝＝＝＝＝＝＝⇒入退出管理マニュアル
施設内における管理＝＝＝＝＝＝＝⇒IDカード発行手順
セキュリティ教育基準＝＝＝＝＝＝⇒訓練手順・E-ラーニング実施手順
コンピュータウィルス対策基準＝＝⇒ウイルス対策ソフト導入手順
社内ネットワーク利用基準＝＝＝＝⇒クライアントのネットワーク設定マニュアル

・弊社ひな形簡易版情報セキュリティポリシー作成　50,000円

・独立行政法人情報処理推進機構（IPA）ひな形版中小企業向け情報セキュリティポリシー作成　200,000円～

・完全版情報セキュリティポリシー作成　400,000円～