• 情報セキュリティポリシーは、組織が実施する情報セキュリティ対策の方針などをまとめた行動指針のこと
  • 情報セキュリティポリシーを整備するうえでは、担当者だけでなく全社員が情報セキュリティの意識をもち、取り組むことが必要

現代のIT化が進む社会では、企業が保有する情報資産を守るための情報セキュリティ対策の実施が欠かせません。さらに、自社の情報セキュリティの方針や指針を取引先や消費者に明示することも求められています。

こうした状況の中で、情報セキュリティポリシーの策定が進んでいますが、「情報セキュリティポリシーがどのようなものかわからない」「どのように作成したら良いのかわからない」などの不安を抱えている企業もあるでしょう。

そこで、この記事では情報セキュリティポリシーの概要や策定方法、策定のポイントを解説します。また、最後にサンプルも紹介していますので、策定する際の参考にしてください。

目次

情報セキュリティポリシーとは

情報セキュリティポリシーとは、組織の情報セキュリティ対策における方針や行動指針のことです。
つまり、「どのような方向性で」「どのような方法で」情報セキュリティ対策を実施するかがまとめられています。

情報セキュリティポリシーは、組織のもつ情報資産や組織の規模、体制、業務形態などを踏まえたうえで、それぞれの組織が策定することが求められます。

情報セキュリティポリシーの目的

情報セキュリティポリシーを作成する目的は、組織が保有する情報資産をウイルスや情報漏えいなどの情報セキュリティ脅威から守ることです。

また、最近では自社の情報セキュリティポリシーを掲示することで、取引先や消費者などのステークホルダーからの信頼を得ることにもつながります。そのため、大手企業や情報系の職種の企業では、情報セキュリティポリシーを明示することが一般的になっています。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

情報セキュリティポリシーに掲載する内容


それでは、具体的にどのような内容を記載すべきなのでしょうか。ここでは、情報セキュリティポリシーに掲載する内容を解説します。

基本方針

基本方針は、組織が行う情報セキュリティ対策における方向性や理念などを定めたものです。主に以下のような内容を記載します。

  • 情報セキュリティ対策を行う理由
  • 情報セキュリティ対策をどのような方向性で考えるのか
  • 顧客情報をどのような方針で取り扱うのか

すべての情報セキュリティ対策の指針となるもので、組織が「この対策は実施するべきか?」と検討する際には、基本方針との整合性があるかどうかで判断する重要なものです。

例えば、以下のような文言で記載されます。
———————————
当社は、早急に取り組むべき経営課題として、情報資産の適切な管理を掲げています。
顧客情報の流出や不正利用といったリスクが蔓延する中においても、お客様に安心して当社のサービスをご利用いただくために、情報セキュリティに関する当社の取り組み方針として「情報セキュリティポリシー」を宣言し、遵守します。
———————————

対策基準

対策基準は、基本方針にもとづいて各部署の情報セキュリティ対策をまとめたものです。
部署ごとに情報セキュリティ対策の方法や基準、違反した際の罰則などのガイドラインを作成します。

例えば、システム変更管理規程における対策基準は、以下のような文言で記載されます。
———————————
システム変更を行う場合、以下の定められたプロセスを遵守する必要があります。

  • システム変更の要求は、あらかじめ認可されている者のみが可能
  • システム変更作業者は、作業前日までに正式な承認を管理責任者から得なければならない

———————————

実施手順

実施手順は、それぞれの部署に定められた対策基準をもとに、実施すべき情報セキュリティ対策の内容を具体的な手順で記載します。

また、実施手順だけでなく、従業員へのセキュリティ教育についても記載し、マニュアルとしてまとめておくと良いでしょう。

例えば、システム変更管理規程における実施手順は、以下のような文言で記載されます。
———————————
システム変更作業は、以下の定められたプロセスを遵守する必要があります。

  • システム変更により、情報資産の完全性が損なわれないことを担保するため、変更作業を管理責任者に対してレビューしなければならない
  • システム変更作業の変更完了時点でシステムに関する一式の文書は更新し、また古い文書は記録・保管しなければならない

———————————

情報セキュリティポリシー策定のポイント


情報セキュリティポリシーを作成する際に、注意すべき点はあるのでしょうか。ここでは、情報セキュリティポリシー策定における3つのポイントを解説します。

守るべき情報資産や責任者を明確にする

自社が保有している情報資産のうち、情報セキュリティポリシーによって守るべき情報資産を明確にしましょう。顧客情報や会社の機密情報など、自社の方針としてふさわしいものを選定してください。

また、運営組織を定めて情報セキュリティポリシーを運用することが必要ですが、その際には責任者を設けましょう。
経営層だけで情報セキュリティポリシーを定めると、現場と乖離して形骸化するおそれがあります。そのため、情報セキュリティ知識に長けており、現場の視点ももっている人材にすることがおすすめです。

できる限り具体的に記載する

情報セキュリティポリシーは、対象となる従業員や関係会社が遵守すべき指針です。
そのため、情報セキュリティにおける知識があまりない社員が読んでも理解できるようにわかりやすく、具体的な内容を記載しましょう。

また、情報セキュリティポリシーを策定したのち、従業員教育を行ったり、不明点がないか確認したりすることで、社員の情報セキュリティポリシーへの理解度を深められるでしょう。

社内の状況や運用体制を考慮して策定する

情報セキュリティポリシーは、自社が遵守すべき内容です。しかし、理想を高く掲げすぎて、実際の社内の状況や運用体制と乖離してしまうと、遵守できなくなるおそれがあります。また、従業員の負担になり、形骸化につながるリスクもあるでしょう。

情報セキュリティポリシーは、PDCAサイクルを回して定期的に見直しを図ることが必要です。問題点を修正しながら、より良いものに改善していくことがおすすめです。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

情報セキュリティポリシーのサンプル

最後に情報セキュリティポリシーのサンプルを公表している機関を紹介します。また、情報セキュリティポリシーの概要を公表している企業も多くあるため、自社に近い業種や規模の企業のホームページを調査しても良いでしょう。

特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)

2024年2月21日現在、情報セキュリティポリシーサンプル改版(1.0版)が公表されています。JNSA の公開サイトへのアクセスが毎月 1000 件を超えているとあり、さまざまな企業の情報セキュリティポリシーの参考にされています。

関連ページ:特定非営利活動法人 日本ネットワークセキュリティ協会(外部リンク)

独立行政法人 情報処理推進機構

「中小企業の情報セキュリティ対策ガイドライン」は、情報セキュリティ対策に取り組む際の、経営者が認識し実施すべき指針、社内にて対策を実践する際の手順や手法をまとめたものです。
個人事業主、小規模事業者を含む中小企業の利用を想定して、作成されています。

関連ページ:独立行政法人 情報処理推進機構(外部リンク)

まとめ

この記事では、情報セキュリティポリシーの概要や策定のポイントを解説しました。

情報セキュリティポリシーを明示することで、自社の情報セキュリティ体制や方針、運用方法を対外的にアピール可能です。そのため、多くの企業がホームページに記載するようになっています。

自社で情報セキュリティポリシーを策定する際には、きちんと運用可能な形を検討することが大切です。PDCAサイクルを回してアップデートしながら、自社の課題を修正し続けることで、万全なセキュリティポリシーを策定しましょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ