自社で情報セキュリティ基本方針を作るという会社が増えています。しかしどうやって作ればいいのかとお困りの担当者も多いのではないでしょうか。今回は、情報セキュリティ基本方針に関する知識のない方でもわかるように、目的から作成方法まで詳しく解説します。
今回のお悩み
情報セキュリティ基本方針を作成することになったけれど、本当に自分たちで作れるのだろうか?情報セキュリティ基本方針とは何なのか、どうやって作ればいいのか、注意すべき点なども知りたい。
私が解説します!
「情報セキュリティ基本方針」と聞くと、何だか難しく考えてしまいそうですが、自社で作成することはそれほど難しいことではありません。情報セキュリティ基本方針の目的を理解し、ひな形などを参考にしながら、実際に作ってみましょう。
目次
( 1 ) 情報セキュリティ基本方針とは?
まずは、情報セキュリティ基本方針とは何かを理解することから始めましょう。
情報セキュリティ基本方針は、「情報セキュリティポリシー」と呼ばれる文書の一部です。情報セキュリティポリシーの全体像については(2)で述べますが、そのポリシーにおける基本方針を示したものが「情報セキュリティ基本方針」という位置づけです。企業が情報セキュリティ対策にしっかり取り組んでいるという意思表示でもあり、多くの企業がウェブサイトなどで公開しています。
基本方針で明示する内容
情報セキュリティ基本方針で示すべきことは、情報セキュリティに関する基本的な考え方です。企業や組織にとって共通の理念・目的・目標、さらに情報セキュリティポリシーの対象や、違反への対応などについても明記します。
企業規模や業種によって文言や表現、ボリュームは異なってきますが、だいたい5~10か条ぐらいで簡潔にまとめられる傾向にあります。「A4サイズの用紙1枚に収まる程度がよい」という意見もあります。
( 2 ) 情報セキュリティポリシーについて
(1)で、情報セキュリティ基本方針は「情報セキュリティポリシー」と呼ばれる文書の一部と述べました。ここでは情報セキュリティポリシーの全体像も理解しておきましょう。
情報セキュリティポリシーとは?
情報セキュリティポリシーは、一般的に「基本方針」「対策基準」「実施手順」の3つで構成されます。基本方針については前述の通りですが、あとの2つはいわゆる「ガイドライン」と「マニュアル」という位置づけです。
【対策基準=ガイドライン】想定される情報セキュリティリスクに対して、どのような対策を行うかを明記します。
【実施手順=マニュアル】どのように情報セキュリティポリシーを運用するかを定めます。
情報セキュリティ対策の〈根幹〉となる「情報セキュリティポリシー」の詳細や策定方法について、以下の記事でご紹介しています。
( 3 ) 情報セキュリティ基本方針の目的
情報セキュリティ基本方針を明文化する目的は、重要な情報資産(※1)を守ることにあります。デジタル化が急速に進展し、サイバー攻撃がますます複雑化する現代、情報は企業にとって守るべき「財産」です。情報セキュリティ基本方針に則った適正な情報セキュリティ対策を行うことは、ステークホルダー(※2)に対して大きな意味を持ち、会社の信用度を向上させます。
従業員のセキュリティ意識の向上
もう一つ大きな目的として挙げられるのが、従業員のセキュリティ意識の向上です。ただ漠然と対策をするのではなく、明文化したうえで全員のベクトルを合わせたセキュリティ対策を行うことで、セキュリティ意識は高くなります。
※1 情報資産:組織または個人が保有し、価値を持つ情報。および関連する資源のこと。※2 ステークホルダー:株主、取引先、従業員、さらには金融機関や行政機関など、企業にとってあらゆる利害関係者を指す。
サイバー攻撃のニュースが後を絶たず、情報セキュリティの概要やリスクへの関心が高まっています。以下の記事では情報セキュリティの3大要素やリスクに加え、情報セキュリティ事故の事例や対策方法をまとめています。ぜひご一読ください。
( 4 ) 情報セキュリティ基本方針を自社で作成する方法
では、自社で情報セキュリティ基本方針を作ることは可能でしょうか。専門的な知識が必要なのではと思われがちですが、決して難しいことではありません。
情報セキュリティ基本方針は、企業によって守るべきものや理由は異なるため、どのような方針が必要かを検討し、作ることが重要です。IPA(独立行政法人
情報処理推進機構)が提供しているサンプルを元に、主な項目を紹介します。
- 経営者の責任
- 社内体制の整備
- 従業員の取り組み
- 法令及び契約上の要求事項の遵守
- 違反や事故への対応
実際に作成するための注意点
情報セキュリティ基本方針の作成には、IPAの「中小企業の情報セキュリティ対策ガイドライン」を参照するとよいでしょう。また、上記でも触れたとおり、IPAでは「情報セキュリティ基本方針(サンプル)」を公開しています。必要な項目を選択し、編集することで自社の情報セキュリティ基本方針を作成することができます。
ただし安易に「ひな形」に頼ればいい、ということではありません。そこに明記された文章が自社の方針となることを忘れず、あくまで自分たちで考えて作るという意識を持つことが重要です。
自社のセキュリティ状況も把握可能
さらにこのガイドラインでは、詳細リスク分析の実施方法として情報資産の洗い出し、リスク値の算定なども詳述されており、自社のセキュリティ状況を把握するのに便利です。
参照:IPA(独立行政法人 情報処理推進機構)「中小企業の情報セキュリティ対策ガイドライン」( 5 ) まとめ
ここまで、情報セキュリティ基本方針とは何か、目的から作成方法までを解説してきました。自社でも情報セキュリティ基本方針が作れること、それが社内外に対して重要であることをご理解いただけたでしょうか。
情報セキュリティ基本方針の作成は、現在の自社の取り組みを見直す絶好の機会でもあります。また、それらをウェブサイトなどで公表することによって、情報セキュリティに取り組む姿勢が社会的な信頼・信用にもつながります。
サクサでは中小企業のセキュリティ対策に関するお役立ち資料を提供していますので、こちらもぜひご活用ください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。