ポリシーに反映する項目を収集選択し、ドキュメントを作成する準備が整ったら、項目から外れた電子メール、インターネット、モバイルなどの具体的な対策や指示について、ポリシーに基づくガイドラインを別途作成ます。また、企業全体のポリシーのほかに、部署ごとのポリシー、エンドユーザー用ポリシー、システム部門用のポリシーなどを作成するのもよいでしょう。
作成前に
理想論だけのポリシーは絵に措いた餅ですが、かといって、現状のシステムが、すべてを満たすような条件でポリシーを作成すべきではありません。程度問題ですが、ポリシーは自社のセキュリティの目標や理想を定める場にします。
現実的なものだと、ポリシーの更新の頻度が増え、マネジメント層の承認を得ることが難しくなってしまいます。大事なことは、セキュリティを守るのは常識だ、という一言で済まさないことです。なぜ自分たちの会社が、セキュリティに取り組んでいるのかを論じなければいけません。
具体的なポリシー条項の例
セキュリティポリシーはどんなものかを、具体例で紹介します。ここでご紹介するのはごく簡単で一般的なものですから、実際に作成するには、就業規則や後述する各種参考文献などを利用して、自分たちで作成する必要があります。出来合いのポリシーは企業に根づきません。ポリシーはその企業の文化を反映したもので、起こり得る危機から企業の情報資産を守るためのポリシーの作成作業は、企業文化の確立といっても過言ではありません。ポリシーとはどんなものか、イメージをつかみます。
- 目的情報の財産的価値を明確にし、当該情報の保護と企業経営の方針やゴールを明確に宣言します。セキュリティ対策は、とかく円滑な業務の遂行などとは両立しにくいので、セキュリティの確保のために時間を使うことは、業務の一部であることを明確にしなければいけません。
- 適用範囲では、ポリシーを誰(主体が遵守するのか、何(情報資産)に適用されるのかを定義しています0 この適用範囲は、ポリシーで最も重要な概念です。保護すべき情報資産を明確に、定義しておく必要があります。
- ポリシーの遵守では、研修への参加と誓約書の提出を義務づけています。違反者には休職や懲戒免職の罰則を課す(場合によっては法的措置も辞さない)としているのは、ポリシーの強制的な側面を現しています。
ポリシー作成のポイント
ポリシーの作成で重要なのは、当たり前と思っていたことが、なぜ当たり前なのかをしっかり議論することであり、その過程で従業員はセキュリティの重要性を認識し、企業文化を反映したポリシーができあがります。序文だけでは、なかなかポリシーのイメージが湧き難いかと思います。そこで「パスワードの運用」「コンピュータウィルス対策」に関する具体的なポリシーの条項例をご紹介します。
ポリシーは、プロジェクトチームで議論を重ねて、最終的に簡明な文章に仕上げなければなりません。誤解を生むような表現は使ってはいけませんが、契約書や法律の条文のように誤解を避けるために極度に読みにくい文章になってもいけません。かといって、柔らかい文章にしてしまうと、ポリシーの本質である「強制力のある義務的な命令」の雰囲気がなくなってしまいます。このバランス感覚が重要です。
参考文献
セキュリティポリシーを作成する上で、参考になる各種基準などを紹介します。これらの各種基準などは、内容が貧弱で、頻繁にアップデートされていないため実状にそぐわない部分があるかもしれませんが、独自のポリシーを持っていない企業にとっては利用する価値が十分あります。
コメント