ITセキュリティポリシー策定の手順

ITセキュリティポリシーの重要性

企業にITを取り入れるのであれば、ITセキュリティポリシーを策定することはとても大切です。
ITセキュリティポリシーとは社員全員が守るべき指針のようなものであり、これによって、企業のITセキュリティを確実に守ることができるのです。
ただ漠然とそれぞれの社員の自由に任せてしまうと、情報資産が損なわれてしまったり、情報漏洩してしまう危険性があります。

また、きちんとした指針がないと、社員は何にしたがって行動すればいいのか分からなくなってしまうでしょう。
社内の情報セキュリティを強化するためにもITセキュリティポリシーは絶対に必要となるものなのです。
これによって、企業全体が情報セキュリティを守ることができるため、将来のリスクを軽減できます。

セキュリティポリシーの重要性についてはこちらのサイトで解説しています。
参考にしてください。
>>セキュリティポリシーの重要性｜symantec

ITセキュリティポリシー策定の手順

ITセキュリティポリシーを策定するならば、最初に責任者を決めるようにしましょう。
責任者を決めて、その下に配置する人材を決め、組織化することが大切なこと。
社内のITセキュリティのための委員会を設立して、委員会が中心となってITセキュリティポリシーの策定や運用をするのです。

場合によってはITセキュリティポリシーの質を高めるために外部から専門家に来てもらい、参加してもらうことも検討しましょう。
ただし、外部の人間にすべてを任せてしまうことはあまりおすすめできません。
あくまでも社内の人間が中心となってITセキュリティポリシーを策定することにより、それぞれの会社にピッタリな内容にすることができます。

委員会のメンバーとしては、委員長と副委員長、各部門の委員、事務局を決めましょう。
そこから、決定事項ができたら取締役会に報告をしましょう。
また、外部コンサルタントや顧問弁護士などからは助言を受けるようにしましょう。

策定の手順としては、まず組織を決めて、その後に目的や具体的な情報資産の範囲について、期間や役割分担などを決めましょう。
その後には、具体的なスケジュールや基本方針を決定して、情報資産の洗い出しやリスクについての分析を行いましょう。
最後には対策基準と具体的な実施内容を策定しましょう。

注意するべき点として、まずどのような情報資産を守るべきなのか明確にしてください。
対象者の範囲についても具体的にしましょう。
内容は誰が読んだとしても勘違いすることなく分かりやすいものにしましょう。

社内の状況を正しく踏まえて、ふさわしい内容にしてください。
また、実現不可能な内容にしてしまうと無意味になります。
形骸化になってしまうのを避けるために違反をした時の罰則をきちんと明記しましょう。