こちらでは、情報資産を脅威から守るために必要な、セキュリティポリシーの策定について紹介しています。策定の際の手順や、社内全体にしっかりと周知することの重要性についても解説しているので、ぜひ参考にしてみてください。
情報セキュリティについての方針をまとめたものを、情報セキュリティポリシーといいます。企業や組織が、有している情報資産をさまざまな脅威から保護するための対策基準として利用します。
脅威からの保護という目的は同じでも、策定内容は、企業によって異なります。情報セキュリティポリシーは、セキュリティ効果を向上させるため、情報資産や組織の規模、さらに体制をふまえて策定されるものだからです。
情報セキュリティポリシーを策定し、それを導入・活用することで、情報資産を保護しやすくなるのはもちろんのこと、社員やスタッフの意識を向上させるのにも役立ちます。意識の向上も、脅威への対策のひとつになるわけです。
ですから、情報セキュリティポリシーは、特定の社員やスタッフに向けたものではなく、会社全体で同じ意識を持てるようにするためのものであることを認識する必要があります。
情報セキュリティポリシーの目的を定め、指針を明示した上で、情報資産の対象範囲やポリシーの適用期間、さらに役割分担などを検討していきます。
情報セキュリティポリシーの策定完了までのスケジュールを立てます。その際、策定の各ステップにかける日数や終了日などを具体的に決めていくことが大切です。
あまりタイトなスケジュールにしてしまうと、遅れないようにすることにばかり気を取られてしまい、議論が不充分になるなどの問題が生じやすくなります。ですから、あくまでひとつの目安としてのスケジュールであると考えましょう。
全体の方向性を決定づけるために、基本方針を策定します。情報資産の機密性や完全性、可用性などをしっかりと確保するのに必要な考え方、そしてセキュリティ意識の向上などをふまえて策定することが大切です。
社内の全情報資産の洗い出しを行い、情報漏洩やサイバー攻撃などに関するリスクを分析して、発生確率や影響の大きさなどを想定・算出します。
リスク分析の結果をもとに、具体的なセキュリティ対策基準および実施内容の策定を行います。実施内容については、セキュリティ対策の実行方法をできるだけ詳細に記載しておくことが重要です。
情報セキュリティポリシーの重要性をふまえ、適切な手順を経て策定が完了したら、社員、全員にしっかりと周知することが重要です。策定しただけではあまり大きな意味を持たないことを留意しておくようにしましょう。具体的な内容を全員が共有することによってはじめて、セキュリティ環境がより強固になるのです。
さらに、定期的な社内ミーティングや研修などを実施することで、パスワード管理やセキュリティ違反の際の報告手順などについてもしっかりと共有できるようになります。そうすれば、業務手順のブラックボックス化なども回避できます。
経産省の資料では、サイバーセキュリティに関する組織体制において、IT、デジタル部門の開発、運営者・事業部門などの「実務者・技術者層」、セキュリティ部門・監査部門などの「戦略マネジメント層」、取締役・執行役員などの「経営層」、の3つに分類され、必要なスキルや具体的にやるべきこと(タスク)が定義されています。
該当の対象者に向けた研修を展開しているおすすめの会社を合わせて見られるようにしているので、検討している受講者の欄からご覧ください。
CompTIA CASP+やCySA+など上位資格を学べる研修ラインナップ。CompTIAプラチナパートナーとして上位資格を一気通貫で学べる国内数少ない会社です。
実務や技術者が仮想空間で手を動かしながら実践的にスキルを習得できる点が特徴です。
CompTIA(Pentest+、CASP+、CySA+他)、EC-Council(CEH、CCT他)、ICT(OT)、SecuriST、インシデント対応、ペネトレーションテスト、フォレンジック など
セキュリティ事故などインシデント対応者に必要な知識を学べる専用プログラムが特徴。
基礎的な知識から、デジタルフォレンジックやマルウェア解析など専門技術を内製できる企業向けにもコースを展開しています。
インシデントレスポンス、マルウェア解析、セキュリティオペレーション、デジタルフォレンジック、脆弱性ハンドリング、情報セキュリティ事故対応 など
企業のリスクマネジメントを支援するコンサルティング業務を主軸としており、企業経営の推進力を高めるリスクマネジメント力が身に着く研修を提供しています。
経営層向けだけで3段階のコースを展開し、着実なステップアップができます。
経営層向けサイバーセキュリティ対応能力向上、CSIRT構築、情報セキュリティ入門、組織サイバーレジリエンス力向上 など
