☆★☆JNSAメールマガジン 第83号 2016.4.1☆★☆
(JNSA西日本支部長/富士通関西中部ネット株式会社 嶋倉 文裕)
JNSA西日本支部の「中小企業向け情報セキュリティポリシーサンプル作成WG」では、2014年から情報セキュリティポリシーサンプル0.92a版を元に改訂作業を行いました。
そしてこの度、改版した情報セキュリティポリシーサンプルを1.0版として公開致しました。それに伴い、少し改版内容をご紹介します。 今回の改版の主なポイントは以下のとおりです。
1.0版の作成にあたり、0.92a版の文書を踏襲することを基本としています。ただし、管理者、利用者を分離した全体の構成の見直しなどを行っています。
(2) 情報セキュリティ対策の日々の運用を重視日々の情報セキュリティ対策の運用が適切に実施されていることを確認するプロセスを確立するための項目を規程に盛り込みました。
(3) 主語、対象、役割を明記1.0版では、できるだけ主語、対象、役割を明記することとしました。誰が(責任者、管理者、利用者)、何を行うのか、どういう責任(行為、記録、確認・承認)を果たすのか、を明確にすることとしました。
なお、1.0版は0.92a版と同様、情報セキュリティ基本方針」、「情報セキュリティ方針」、「情報セキュリティ対策規程(群)」の3つからの構成としていますが、0.92a版で33個のポリシーサンプルを15個に集約しました。これは、細かく分かれていた0.92a版では中小企業が自ら組み合わせを考えることが面倒であり、各規程の関連性の確保、矛盾なく運用することが困難と考えたからです。
JNSA西日本支部では、これまで「中小企業向け情報セキュリティチェックシート」※1、「出社してから退社するまで中小企業の情報セキュリティ対策実践手引き」※2を作成してきました。今回、改版した情報セキュリティポリシーサンプルとこれまでの成果物には以下の関係があります。
「出社してから退社するまで中小企業の情報セキュリティ対策実践手引き」を用い、自組織の日常業務に潜むリスクを認識し、認識したリスクの受容レベルから必要な対策を決定し、「情報セキュリティポリシーサンンプル」を利用して、実施する対策を自組織の情報セキュリティポリシーに記載します。
「中小企業向け情報セキュリティチェックシート」は、対策状況の確認に用いることができます。
改版した情報セキュリティポリシーサンプルは、組織によっては、過剰な対策の記載となっていますので、利用にあたっては以下の注意事項があります。
情報セキュリティポリシーサンプルの「情報セキュリティ方針」には、情報セキュリティを維持するための組織、役割について記載しています。組織のどの部門が、誰が「情報セキュリティ方針」の記載例に相当するのか、また、組織内に設置が困難な役割はないか、などを検討します。
その結果を元に、情報セキュリティポリシーサンプルの「情報セキュリティ方針」の体制を対象となる組織に合わせて記載を変更します。
(2) 組織で実施する対策の記載を確認組織で実施済や導入を決めた対策が、情報セキュリティポリシーサンプルに記載があるか、確認します。
記載があるものについては、情報セキュリティポリシーサンプルの記載内容、記載レベルを確認します。
実施済や導入を決めた対策でも実現方法や運用方法など詳細な部分で、組織の実態と異なる部分があるため、細かに確認が必要です。
(3) 過剰な対策、不要な対策の記載を削除組織で導入しない対策や、実施済や導入を決めた対策でも詳細な部分、運用方法などで異なる部分を確認し、情報セキュリティポリシーサンプルからその記載を削除します。
(4) 全体の整合を確認全体を確認し、体制と役割と各規程の実施者との間に矛盾がないか、表現が異なる役割がないか、どこにも定義されていない役割、担当がないか、などを確認します。
また、記載する対策に矛盾がないか、削除した対策があることを前提にした記載が他の規程に残っていないか、などを確認し、該当するものがあれば修正します。
4月以降の西日本支部のWG活動は、新たに「経営者に情報セキュリティ対策の必要性を訴求し、対策に投資をしてもらうためのリスクの見える化」に挑戦してみます。
「参加したい」「ちょっと興味がある」という方がいらっしゃいましたら、お気軽にお声掛けください。