情報セキュリティポリシー
個人情報管理と、コンプライアンスの観点から情報セキュリティポリシーを設定する事が重要。
ポリシーとは、方針の意。
要点まとめ
- 情報資産のセキュリティ規約を文書化したものを、情報セキュリティポリシーという
- 情報セキュリティポリシーは、基本方針、対策基準、実施手順の3階層からなる
- 情報セキュリティポリシーを設定後、セキュリティ対策を実際に設定する
情報セキュリティポリシー
情報セキュリティポリシーとは、情報資産のセキュリティ規約を文書化したものを指す。
目的は、情報セキュリティポリシーに従い情報漏洩を未然に防ぐことである。
情報セキュリティポリシーを設定するだけでなく、そのポリシーを守る為に、セキュリティ対策を行う必要がある。
基本方針
その企業の経営者が、セキュリティに関する方針を社内外に宣言したもの。
以下を設定する。
- 事業の運営体制
- 責任範囲
- 罰則
対策基準(スタンダード)
基本方針に従って、守るべき規定を具体化したもの。
以下を設定する。
- 適用範囲
- 対象者
- リスク分析:どのような脅威や脆弱性が潜んでいるか
例:パスワードは他人に推測されにくいもので、自分で覚えやすいものとする
実施手順(プロシージャ)
部門ごと、想定担当者ごとに、対策基準を具体的なプロセスにまとめた文章。
例:パスワードは英数字を含む8文字以上でなければならない
他には以下のような実施手順がある。
- サーバーにセキュリティソフトを入れる
- ID、パスワードの変更スケジュールを1ヵ月ごとに行う
- アクセス権限を設定する
- IPアドレスの限定
- 印刷物の保管はロッカー鍵付きで
- 印刷物の破棄はシュレッダーで
外部に公開されるのは、基本方針のみで、対策基準と実施手順は社内で共有する。
一度共有して終わりではなく、徹底周知することが望ましい。セキュリティポリシーを設定しても、社内の一人が守らなかったら簡単に情報は漏洩する。
パスワードが数字4桁だけなら、容易にハッキングされる可能性が高い。
他には、持ち出し禁止の情報をUSBフラッシュメモリにデータを入れ、持ち出して紛失すれば情報漏洩となる。
情報漏洩はヒューマンエラーで容易に発生してしまうので周知徹底する。