情報セキュリティポリシーの策定

会社の情報を守るために

企業は、組織内で扱う情報を守るために、情報セキュリティポリシーを策定し体制を整えることが重要です。

国の情報処理推進機関であるIPAは、中小企業がハケンさんに言われて、情報セキュリティポリシーを作成していく様子をドラマ仕立てでわかりやすく公開しています。

情報セキュリティとは何でしょうか。

JIS Q 27000:2019では、情報セキュリティには、３つの要素があると定義されています。情報セキュリティの3要素（CIA）は、情報セキュリティのいろはみたいなもので、各種試験にもでるので解説している動画もたくさんあります。

情報セキュリティのCIAに2019年に追加された4要素を含め7要素ともいわれます。JISQ27000:2019という新しい定義では、人だけではカバーできず、物（エンティティ）も対象に加えています。

インターネットなど高度に発達した情報通信社会では、国ごとに個人情報の法規制やルールなどに差があると情報流通に問題が生じるため、OECD（経済協力開発機構）加盟国間で、プライバシー保護と個人データの国際流通についてガイドラインを作成しています。それをOECD8原則といいます。
日本の個人情報保護法はOECD8原則をベースに作成されています。

情報セキュリティポリシーの策定

企業においては、情報セキュリティを保つために情報セキュリティポリシーを策定します。

情報セキュリティポリシーは、まず会社のトップが情報セキュリティ基本方針を策定します。次に企業の情報資産を調査しリスクを把握します。そのリスクを分析し、情報セキュリティ対策基準を策定します。基準ができたらポリシーを決定し、実施手順を策定します。

＜リスクアセスメント＞
リスク特定→リスク分析→リスク評価

IPA（独立行政法人情報処理推進機構）では、中小企業の情報セキュリティ対策に関する検討を行い、より具体的な対策を示す「中小企業の情報セキュリティ対策ガイドライン」を公開しています。

またIPAではチェックリストなどを掲載した情報セキュリティハンドブックも提供しています。

情報セキュリティマネジメント

情報セキュリティに取り組むための枠組みを情報セキュリティマネジメントシステム(ISMS)といいます。リスクに対しては、リスクコントロールやリスクファイナンスで対応していきます。

情報セキュリティポリシーは定期的にチェックし、必要に応じて見直していきます。きちんと順守されているかをいるために、情報セキュリティ監査を行います。
情報セキュリティ監査は、情報セキュリティ管理基準をベースに判断されます。

情報セキュリティ管理基準 | JASA (Japan Information Security Audit Association)