みなさまの会社では情報セキュリティポリシーの内容をご存知でしょうか。
「あるのは知っているし会社のルールとしてこんなものがあるよ」という方は、一度しっかりと内容を確認されることをおすすめします。
「あるかどうかもわからない」という方は、記事を読み重要性について確認し、自社のセキュリティポリシー策定をご検討頂ければ幸いです。
情報セキュリティポリシーとは
情報セキュリティポリシーとは、会社や組織が情報セキュリティを保つための方針のことです。
従業員の方のIT資産等の日々の取り扱いの行動指針から、情報セキュリティに関するトラブル発生時の基本方針なども含みます。
重要なことは、情報資産というのは従業員であれば全員が関わる可能性があるため、IT担当者や経営者だけが知っていればいいわけではなく、社内に展開して会社全体で情報セキュリティに対する意識を高めていくことです。
なぜ決める必要があるの?
情報セキュリティポリシーはその企業が情報を守ることに関しての理念のようなものです。
人や企業には理念があることで「ブレない」人生を送ることや経営をすることが出来ます。
情報を守ることに関しても理念を作成することで、ブレない行動をすることができ、本業に注力することが出来ます。
そのため、情報セキュリティポリシーを作成し、従業員に順守させる必要があるのです。
注目されている背景
現在、さらに注目が集まっている背景には、2017年に施行された改正個人情報保護法があります。
改正個人情報保護法の施行により、個人情報の保護に対する意識を高める必要があり、情報の取り扱いに関するルールを厳密に設定することで、個人情報の漏えいを防ごうと考える企業が増えているためです。
従業員単位の行動指針を作成するためには、情報セキュリティポリシーの策定が必要だと考える企業が増えていると言い換えることも出来ます。
設定しないとどうなるの?
情報セキュリティポリシーを設定しないことで、どのようなことが想定されるでしょうか。
それは「混乱」です。
従業員の行動指針に関しては、人によって対応が異なることになるので、脅威に対する想定もなければ対応も後手に回ってしまう可能性があります。
例えば、私物の持ち込みを規制・管理しておらず、誰がどのような機器を使っているか分からない場合、どれかがウィルスに感染していた場合に、ウィルスの蔓延を防ぐことは難しくなるでしょうか。
また、トラブル時の対応も方針がないので、その場で対応することになり、より被害が広がってしまう可能性もあります。
どうやって決めればいいの?
情報セキュリティポリシーを作成するためには、「基本方針」と「セキュリティ対策基準」を決める必要があります。
基本方針で適用範囲や順守すべき法令などを決め、その方針を元に、セキュリティ対策基準で、誰がどのように何からどの情報を守るのかを具体的に決めていきます。
そこからさらに従業員単位に落とし込んだ行動基準を設定する。
この行動基準を従業員の方一人一人が守ることによって会社の情報が守られるのです。
逆に言えば、いかに素晴らしい基本方針があっても従業員単位の行動が定まっていなければ情報を守ることは難しく、行動のルールが決まっていても目的が定まっていなければ、そのルールも形骸化してしまうことでしょう。
まとめ
お伝えした通り、情報(IT)セキュリティポリシーを策定し、従業員が順守することで、企業の扱う大切な「情報」を守ることが出来ます。
ただ、そのためには会社としての方針や従業員レベルの行動指針を策定しなければいけません。
そして、IT担当者・経営陣だけではなく、従業員の方々にも展開・周知して頂き、会社として情報を守れるような環境を整えるようにしてください。
この機会に御社の情報セキュリティポリシーを確認して頂き、ポリシーの内容が業務に適応しているか、全社に行き届いているかを確認して頂きたいと思います。
そして、情報漏えいなどの脅威にさられない、もしトラブルに発展してしまっても迅速に対応出来るような体制作りをすることで本業に集中して頂ける、そのようなきっかけに本記事がなれば幸いです。
こちらの記事もおすすめ
自己宣言からスタート!中小企業の為の「SECURITY ACTION」