情報セキュリティポリシー策定/改正サービス
求められる背景
情報セキュリティ対策の重要性が増している中、セキュリティポリシー(ルール集)の整備は情報セキュリティ管理策の第一歩ですが、実態にそぐわない、または、実効性の観点から整備が不十分である組織が少なくありません。
セキュリティポリシーは、経営者のセキュリティに関する意志表明であり、対外的な説明責任を果たすために必須となるもので、組織における全従業者の行動規範となり、足並みを揃えるための拠り所になるものです。
留意して頂きたいのは、管理項目が多岐にわたる情報セキュリティポリシーをベストプラクティスや同業者等のものを模倣して整備してしまうと、実態にそぐわなかったり、情報量過多になったりと、実効性に欠ける文書になりがちです。
また、ポリシー策定に不慣れな従業者が策定した場合、重要事項が欠落、不要な内容が多い、理想論で固められる、という傾向に陥り、そうなるとポリシーは形骸化し、役に立たない代物と化すだけでなく、文書管理のために無駄な労力を継続的に強いられる事態になってしまいます。
これを回避するためには、情報セキュリティ管理の目的とあるべき姿を明確にし、実態にマッチした形で効率的に整備していくことが重要です。また、既存の情報セキュリティポリシーを整備、運用されている組織においては、その実効性や過不足を改善するために現状の文書・様式群を改正・再編成することの検討を推奨致します。
更に、既存の情報セキュリティポリシーが整備されてから長らく見直しがされていない場合は、情報技術の進歩等に伴う脅威や脆弱性の変化、自組織の外部環境や内部環境の変化に見合った内容になっているかを点検することも実効性の観点から見ると大変重要です。
特 色
金融機関や自治体等において情報セキュリティポリシーの策定や整備支援のコンサルティング実績があり、組織の事業内容・実情を反映した実効性の高い文書の整備を実現することができます。
経産省、総務省、金融庁などのセキュリティや特定個人情報の取扱いに関するガイドライン、業界独自のガイドライン、内閣サイバーセキュリティセンター(NISC)の政府統一基準等、組織の関係する各種ガイドライン・基準を情報セキュリティ文書に反映する形で整備することができます。弊社のコンサルタントは、これらのガイドライン・基準に精通しております。
ポリシー整備の目的と将来像(あるべき情報セキュリティ管理態勢など)を見据えた上で、現状を調査・分析し、最適な文書整備をお約束致します。また、整備した後も外部環境・内部環境の変化に伴い、定期的な見直しを支援し、PDCAサイクルが回り、スパイラルアップできるようにご支援致します。
ポリシー策定期間中は、お客様とワーキンググループを立上げ、情報セキュリティ管理者のみならず、現場部門のユーザー様と接しながら、より実態に即した実効性の高いポリシー整備に勤めます。
実施ステップ
※ 情報セキュリティポリシー(基本方針、対策基準)の他、情報セキュリティ実施手順、各種要領・様式、ハンドブック等の整備についてもご支援致します。
効果・メリット
- 情報セキュリティ管理に関する対外的な説明責任を果たすための基礎ができ上がります。
- 情報セキュリティに関する外部(内部)監査、認証審査などへの第一歩が確立できます。
- 組織として情報セキュリティに対する意思表明・関与の姿勢を示すことができます。
- 従業者の情報セキュリティに関する考え方を統一し、当事者意識を醸成することができます。
- 従業者の情報セキュリティ対策に関する不安を取り除くことができます。
- 属人性による運用リスクを低減することができます(インシデントの減少)。
- 遵守すべき関連法令やガイドライン等に則ったポリシーを整備することでコンプライアンスへの取組みを内外に示し、信頼を獲得することができます。
- ベンダー折衝、受入れテスト・検収支援等
支 援 実 績
- 証券会社における情報セキュリティ関連文書(ポリシー、手順書、要領等)の整備支援
- 自治体の情報セキュリティポリシー、情報セキュリティ実施手順の策定支援
- 省庁の情報セキュリティ実施手順の改正支援
- 医療機関の病院情報システム運用管理規程(情報セキュリティ管理に関する内容含む)策定支援