fbpx

情報セキュリティポリシーの自己点検の必要性

情報セキュリティポリシーには、企業や組織の情報資産(顧客情報・機密情報・社員の個人情報)を内外の様々な脅威からどのように保護するのかといった基本的な考え方や、情報セキュリティを確保するための体制、運用規定などを具体的に記載するのが一般的です。
しかし、情報資産に対する脅威は日々進化しており、せっかく作ったポリシーもそのまま放っておいたままだと形骸化してしまいます。
また、ポリシーの趣旨・内容が組織内の人間に周知徹底されていないと、何の意味も持ちません。
そのために情報セキュリティポリシーは2つの側面から自己点検を行う必要があります。

情報セキュリティポリシー自体の点検

一般的に情報セキュリティポリシーはPDCAサイクルにのっとって常に見直すことが必要とされています。
これは脅威が日々進化していることもそうですが、情報資産の種類が増え、その価値も増している現在において、何をどのような手段で護るのかを明確にしておかないと、万が一被害を被ったときの損害が大きくなってしまいます。
また、事故が発生したときの対応の遅れも損害が大きくなる原因の1つです。情報セキュリティポリシーには防ぐ体制だけでなく、事故発生時の体制も整えておく必要があります。
つまり、情報セキュリティポリシーがカバーする範囲がますます広くなる一方なので、自己点検を行い、時代にそくしたものとなっているか確認することが重要です。

情報セキュリティポリシーの浸透度合いの点検

情報セキュリティポリシーは策定することが目的ではなく、それを運用して情報資産を護ることが目的です。
そのため、以下のような内容について組織内の人間がどれだけ情報セキュリティポリシーを理解しているかを点検する必要があります。
・アカウント、パスワード管理における注意点
・ウィルス対策及びOS、ソフトウェアのアップデートの確認
・情報漏えいに関する注意
・インシデント発生時の対応手順の確認
・故意、過失による情報漏えいの際の罰則についての確認
これらを定期的にテストすることで組織内の人間に対して情報セキュリティポリシーを周知徹底できているかを自己点検することができます。
ただ、自己点検はあくまでも組織内での運用上の問題で、組織の目的や業態などに応じて適切な管理が行き届いているかどうかまではチェックできません。
やはり、専門家を含めた第三者による点検も定期的に行うべきでしょう。