fbpx

情報セキュリティの基本方針とは

情報セキュリティを確保するためには、ハードウェア、ソフトウェア、そしてそれらを利用する従業員の教育なども含めて、「情報セキュリティポリシー」を定めます。
そして、それに基づいて定期的に監査を行うことで、情報資産の保護についてPDCAサイクルを回していく必要があります。

その情報セキュリティポリシーの元となるのが、「情報セキュリティの基本方針」で、一般に社外に対して、自社の情報資産に対する考え方を宣言するものです。

例を挙げると、以下のようなことを宣言します。

1.情報セキュリティ管理体制を確立し、情報資産の適切な管理を努めること。
2.この基本方針にしたがって、情報資産に係る諸々の社内規定を整備し実施すること。
3.情報資産に対する重要性を周知・徹底させるために必要な教育を継続的に行うこと。
4.人的・組織的・技術的な適切な施策を講じて、情報資産に対する不正なアクセス、漏洩、改ざんや紛失・盗難などをはじめとする利用妨害が発生しないように努めること。
5.万が一情報資産に安全性上の問題が発生した場合であっても、その原因を迅速に究明し、その被害を最小限に食い止めると同時に再発防止に努めること。
6.情報セキュリティに関する法令や国が定める方針、その他社会的規範を遵守すること。
7.PDCAサイクルを回して、継続的に見直して改善に努めること。

現代社会において、企業に個人情報を預ける機会がますます増しています。
企業はかつてそれを紙媒体で管理していましたが、今はコンピュータ内でデータという形で保存されています。
そのため、企業のコンピュータやネットワークは現在、以下のような脅威にさらされています。

・コンピュータウィルス
・不正アクセス
・内部の人間による情報の窃取

こうした脅威に対しても、企業として万全な体制を取っていることを宣言することで、企業に情報を安心して預けてもらえるようにしているのです。
また、情報資産への重要性とその資産価値を理解していることをアピールし、社会的な信頼性を高める役割も果たしています。

上記なような理由で、情報セキュリティの基本方針を公開することは、今後の各企業にとって、非常に重要な位置を占めるものとなり、また、高度に専門化された情報技術の中で必須の要素になることは間違いないでしょう。
どこに要点を置くかは業種業態によって異なるかもしれませんが、専門家の意見を取り入れながら、きちんと公開すべきでしょう。