情報セキュリティ方針とは、情報セキュリティやISMSに取り組む際の、最上位の方針です。日々のセキュリティの取り組みの中で判断に迷う事があれば、この情報セキュリティ方針に立ち返り、どうすべきかを考えるための参考になります。
この記事では、以下のトピックについて説明しています。
関連記事:
方針に求められる必須項目
規格では、方針に対して、以下のようなことが求められています
- 組織の目的(経営方針・ミッション)と整合すること
- 情報セキュリティ目的(目標)を決定するときの枠組み(つまり、目的の上位概念)となること
- 情報セキュリティに関して要求されている事項(例えば、規格・法律・社内ルールなど)を遵守する旨を含むこと
- ISMSを継続的に改善していく旨を含むこと
これらの内容を考慮して、1から方針を作成することは大変です。そのため、あらかじめ用意されたひな形を活用することができます。
ひな形を活用して方針を作成する
SecureNaviでは、情報処理推進機構(IPA)が提供している 中小企業の情報セキュリティ対策ガイドライン に記載された、情報セキュリティ方針のひな形を、そのまま活用できるようになっています。
自分たちで方針を1から考えるのもよいですが、特に強いこだわりがなければ、ひな形をそのまま利用してもよいでしょう。ひな形を活用することによるデメリットや、審査への影響はありません。
ちなみに、制定日の定め方に決まった方法はございませんが、一般的には会社として内容を確定し、社外へ公表を開始した 日付を記載いただくのが良いかと思います。
方針の具体例
国内の主要企業の情報セキュリティ方針をまとめてみました。方針作成の参考にしてください。
- トヨタ自動車株式会社「情報セキュリティ基本方針」
- ソフトバンク株式会社「情報セキュリティポリシー」
- 株式会社サイバーエージェント「情報セキュリティポリシー」
備考:プライバシーポリシーの公開(PMS)
情報セキュリティ方針と並んで、個人情報保護法に関連してプライバシーポリシーをHP掲載する場合が多いです。ISMS的にはマストではありませんが、参考までにPマーク準拠のマニュアルをリンクしておきます。