適用範囲はIT部門に限らない
情報セキュリティポリシーは、まず大前提として 「全社の全部門およびすべての従業者」 を対象として適用される必要がある。 そのうえで、ポリシー策定時には 適用範囲を文書として明確に定義すること が求められる。
適用範囲を定める際に特に重要なのは、情報セキュリティの対象が IT 部門に限定されない点である。営業、総務、人事、経理など、あらゆる部門が日常的に情報資産を扱っており、これらも同じポリシーの対象に含めなければならない。
さらに、情報漏えいのリスクは自社内部だけにとどまらない。取引先や業務委託先、共同で業務を行うパートナー企業など、外部の関係者から情報が流出する可能性もある。そのため、委託先のセキュリティ水準や契約上の取り決めを踏まえ、どこまでを適用範囲に含めるかを検討することが重要となる。
さまざまな脅威を考慮する
紙の文書によっても重要な情報はやり取りされるし、口頭で情報の伝達が行われる場合もある。情報セキュリティポリシーはこうした範囲を包含した統合的なセキュリティマネジメントシステムを構築する必要がある。
例えば、ウイルスに関する規定だけを作っても、他の脅威の発生によって情報資産にリスクが発生するかも知れない。セキュリティマネジメントシステムを構築しておけば、新たな脅威や脆弱性の発生にも対応できる。情報セキュリティポリシーはまさにこのようなマネジメ ントのしくみを規定するために作成される文書である。
適用範囲の決定
適用範囲は情報セキュリティポリシーを策定する会社の事業特性、組織特性、所在地、資産、使用技術の観点から決定する。
事業上の必要性が加味されるのは当然だが、他社や顧客との契約事項、 法令などにも整合した適用範囲を定めなければならない。
適用範囲で意外に見落としがちなのが、自社社員の個人情報である。物理的な情報資産や顧客情報の保護は報道などにより意識が高まっているが、社員の個人情報が有用な情報であるという認識はまだあまり高くない。
情報資産の洗い出し
適用範囲を適切に設定するためには、自社が保有している情報資産を完全に掌握する必要がある。自社社員の個人情報の例など、意外に知られていない有価値資産がある場合があるので、この洗い出しのプロセスは非常に重要である。
通常は情報資産管理台帳を作成して、保有資産を明確化する。
(参考)令和08年 情報セキュリティマネジメント 合格教本 岡嶋 裕史(著)技術評論社
コメント