情報セキュリティポリシーを策定するには、方針や対策基準、手順書など、さまざまなドキュメントを記述する必要があります。ポリシーは社則や就業規則と同様に、効力のあるものとして遵守されなくてはなりませんし、間違いがあってはポリシー策定自体が無意味になります。これは記述経験のない情報システム担当者にとっては大きな負担となります。こうした場合に有効なのがサンプルを活用することです。

日本ネットワークセキュリティ協会 (JNSA) のWebサイトには情報セキュリティポリシーのサンプルが解説とともに掲載されています。また、ポリシーの策定方法を解説する書籍も発売されていますので、参考にするとよいでしょう。

しかし、サンプルに合致しない業務形態であったり、担当者の時間が取れなかったりと、さまざまな問題により、サンプルを利用してもポリシーを策定できないこともあります。そうした場合には、外部にアウトソーシングすることも検討しましょう。

ワンポイント

サンプルやアウトソーシングを活用

(2006年02月21日掲載)