（JNSA西日本支部長／富士通関西中部ネット株式会社 嶋倉 文裕）

JNSA西日本支部の「中小企業向け情報セキュリティポリシーサンプル作成WG」では、2014年から情報セキュリティポリシーサンプル0.92a版を元に改訂作業を行いました。

そしてこの度、改版した情報セキュリティポリシーサンプルを1.0版として公開致しました。それに伴い、少し改版内容をご紹介します。 今回の改版の主なポイントは以下のとおりです。

(1) 0.92a版の踏襲

　1.0版の作成にあたり、0.92a版の文書を踏襲することを基本としています。ただし、管理者、利用者を分離した全体の構成の見直しなどを行っています。

(2) 情報セキュリティ対策の日々の運用を重視

　日々の情報セキュリティ対策の運用が適切に実施されていることを確認するプロセスを確立するための項目を規程に盛り込みました。

(3) 主語、対象、役割を明記

　1.0版では、できるだけ主語、対象、役割を明記することとしました。誰が（責任者、管理者、利用者）、何を行うのか、どういう責任（行為、記録、確認・承認）を果たすのか、を明確にすることとしました。

なお、1.0版は0.92a版と同様、情報セキュリティ基本方針」、「情報セキュリティ方針」、「情報セキュリティ対策規程（群）」の３つからの構成としていますが、0.92a版で33個のポリシーサンプルを15個に集約しました。これは、細かく分かれていた0.92a版では中小企業が自ら組み合わせを考えることが面倒であり、各規程の関連性の確保、矛盾なく運用することが困難と考えたからです。

【JNSA西日本支部のこれまでの成果物との関係】

JNSA西日本支部では、これまで「中小企業向け情報セキュリティチェックシート」※１、「出社してから退社するまで中小企業の情報セキュリティ対策実践手引き」※２を作成してきました。今回、改版した情報セキュリティポリシーサンプルとこれまでの成果物には以下の関係があります。

「出社してから退社するまで中小企業の情報セキュリティ対策実践手引き」を用い、自組織の日常業務に潜むリスクを認識し、認識したリスクの受容レベルから必要な対策を決定し、「情報セキュリティポリシーサンンプル」を利用して、実施する対策を自組織の情報セキュリティポリシーに記載します。

「中小企業向け情報セキュリティチェックシート」は、対策状況の確認に用いることができます。

【情報セキュリティポリシーサンプルの利用にあたっての注意事項】

改版した情報セキュリティポリシーサンプルは、組織によっては、過剰な対策の記載となっていますので、利用にあたっては以下の注意事項があります。

(1) 組織に合わせた体制を考える

情報セキュリティポリシーサンプルの「情報セキュリティ方針」には、情報セキュリティを維持するための組織、役割について記載しています。組織のどの部門が、誰が「情報セキュリティ方針」の記載例に相当するのか、また、組織内に設置が困難な役割はないか、などを検討します。

その結果を元に、情報セキュリティポリシーサンプルの「情報セキュリティ方針」の体制を対象となる組織に合わせて記載を変更します。

(2) 組織で実施する対策の記載を確認

組織で実施済や導入を決めた対策が、情報セキュリティポリシーサンプルに記載があるか、確認します。

記載があるものについては、情報セキュリティポリシーサンプルの記載内容、記載レベルを確認します。

実施済や導入を決めた対策でも実現方法や運用方法など詳細な部分で、組織の実態と異なる部分があるため、細かに確認が必要です。

(3) 過剰な対策、不要な対策の記載を削除

組織で導入しない対策や、実施済や導入を決めた対策でも詳細な部分、運用方法などで異なる部分を確認し、情報セキュリティポリシーサンプルからその記載を削除します。

(4) 全体の整合を確認

全体を確認し、体制と役割と各規程の実施者との間に矛盾がないか、表現が異なる役割がないか、どこにも定義されていない役割、担当がないか、などを確認します。

また、記載する対策に矛盾がないか、削除した対策があることを前提にした記載が他の規程に残っていないか、などを確認し、該当するものがあれば修正します。

4月以降の西日本支部のWG活動は、新たに「経営者に情報セキュリティ対策の必要性を訴求し、対策に投資をしてもらうためのリスクの見える化」に挑戦してみます。

「参加したい」「ちょっと興味がある」という方がいらっしゃいましたら、お気軽にお声掛けください。

※１「中小企業向け情報セキュリティチェックシート」
https://www.jnsa.org/seminar/nsf/2014kansai/data/3_shimakura_2.xlsx
※２「出社してから退社するまで中小企業の情報セキュリティ対策実践手引き」
https://www.jnsa.org/result/2013/chusho_sec/index.html

＃連載リレーコラム、ここまで

＜お断り＞本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】
★西日本支部/中小企業向け情報セキュリティポリシーサンプル作成WGでは、多くのご要望にお応えして、この度、ポリシーサンプル改版（1.0版）を公開しました。ぜひご活用ください。
「情報セキュリティポリシーサンプル改版（1.0版）」
　https://www.jnsa.org/result/2016/policy/


★教育部会内/SecBoK改訂検討委員会では、「SecBoK人材スキルマップ改訂版」の一般公開に向けてJNSA会員企業の方々のご意見を募集しています。
ぜひご協力をお願いします。
　https://www.jnsa.org/member/secbok/
　※閲覧には会員専用ページのIDとパスワードが必要です。

★以下の部会・WGでは新メンバーを募集中です。ぜひご参加ください！
　「CISO支援WG」
　「組織で働く人間が引き起こす不正・事故対応WG」
　「経営課題検討WG」
　メンバー募集要項は事務局までお問合せください。


【事務局からの連絡、お知らせ】

★「JNSAインターンシップ交流会」開催します！
　 4月23日（土）に東京大学 本郷キャンパスにて開催します。
　インターンシップ受け入れ予定の企業とインターンシップに興味をもっている学生が対象です。ぜひ学生の方にもご案内ください。
　 スケジュール詳細、お申込みは↓こちら↓から
　 https://www.jnsa.org/internship/
★JNSA会報誌最新号「JNSA Press vol.41」掲載しました。
　会報誌をPDFで掲載しています。ぜひご覧ください。
　https://www.jnsa.org/jnsapress/vol41/index.html

★2016年度年会費ご請求書とJNSA会員登録情報確認票を会員企業各社のご連絡担当者様にお送りしました。
　ご登録情報に変更がありましたら、事務局までご連絡をお願いします。



☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン　第83号
発信日：2016年4月1日
発行：　JNSA事務局　
*************************************