セキュリティポリシー策定支援
セキュリティポリシーとは?
地方公共団体および各企業・団体で所有する情報や、情報を扱う情報システムなどの情報資産をいかにして守るか、この情報資産の保護を利用者の個人的な判断によって、左右されることのないように、統一された情報セキュリティへの取り組み姿勢を明確にするもの。
つまり、地方公共団体および各企業が今後どうやってセキュリティシステムを構築し、維持していくかについて、すべての利用者が従うべきルールが『セキュリティポリシー』なのです。
セキュリティポリシー策定の進め方
セキュリティ委員会などのポリシー策定プロジェクトの結成
Step.1 基本方針の策定
- 組織全体としてセキュリティに対してどう取り組むべきかの方向性を決定する。
- 適用範囲、スケジュールを決定。
Step.2 情報資産の洗い出し・リスク分析
- 「何を」「何から」「どのように」守るか。
- 情報資産の洗い出しに至るコンサルティングをエス・シー・ラボにて実施。
- 貴組織に応じた内容で、抽出された情報資産に対するリスクを分析。
- リスクを回避するための対策を検討。
Step.3 規程の整備
- 前段作業から得られる結果を元に規程案を作成。
- レビューでは規程を客観的に評価し、改訂。
- レビュー/改訂を繰り返し、規程を決定。
セキュリティポリシー策定後のアドバイス
セキュリティポリシーは策定するだけで終わりません。そのルールを教育などを通じて組織内に周知し、理解・実行してもらう必要があります。
運用の中で、自組織にそぐわない部分や、強化できる点、また時代の変化に合わせてセキュリティポシリーを見直し、改善を繰り返すことが重要です。
セキュリティポリシーの考え方
ご相談・お問い合わせ
