セキュリティポリシー策定
情報セキュリティポリシーとは
情報セキュリティポリシーとは、組織における情報セキュリティの方針と対策を文書化したものです。中小企業では「うちには関係ない」と思われがちですが、ポリシーがなければ従業員が何をすべきか分からず、インシデント発生時の対応も後手に回ります。
セキュリティポリシーの三層構造
| 階層 | 文書名 | 内容 |
|---|---|---|
| 第1層 | 基本方針 | 経営層が宣言するセキュリティに対する基本的な考え方 |
| 第2層 | 対策基準 | 基本方針を実現するための具体的なルール・基準 |
| 第3層 | 実施手順 | 対策基準に基づく具体的な操作手順書・マニュアル |
基本方針の作成ポイント
基本方針は経営者名義で発行し、以下の要素を含めます。
- 情報セキュリティに対する経営者の意思表明
- 対象範囲(全従業員、業務委託先を含むか等)
- 法令遵守の宣言
- 違反時の罰則規定
- 定期的な見直しの実施
対策基準で定めるべき事項
中小企業で最低限定めておくべき対策基準は以下の通りです。
- パスワード管理基準:文字数・複雑性・変更頻度のルール
- アクセス制御基準:権限付与・変更・削除の手順
- 持ち出し管理基準:USBメモリやノートPCの社外持ち出しルール
- インシデント対応基準:異常発見時の連絡先と初動対応
- 外部サービス利用基準:クラウドサービスの利用申請と承認フロー
中小企業向けテンプレートの活用
ゼロから作成する必要はありません。IPAが提供する「中小企業の情報セキュリティ対策ガイドライン」には、付録として各種テンプレートが用意されています。
- IPAのガイドラインからテンプレートをダウンロード
- 自社の業種・規模に合わせて内容をカスタマイズ
- 経営層の承認を得て正式に発行
- 全従業員に周知し、同意書にサインをもらう
- 年1回以上の見直しを実施する
ひとり情シスがポリシーを作る際は、あまり複雑にせず、守れる現実的なルールにすることが継続のコツです。A4用紙2〜3枚程度から始めて、徐々に充実させましょう。
✅ 完了済み