情報セキュリティポリシーは、策定しただけでは何の意味もありません。ポリシーを策定したら、紙やデータなどで配布し、必要であれば従業員や外注先に教育を行う必要があります。また、導入にあたって物理的、技術的な問題があるなら、工事やサーバーの設定などを行います。

社内へのポリシー導入が完了したら、運用段階となります。ここでは、定めたポリシーが守られているか、正しく運用されているかを常にチェックする必要があります。ポリシーに違反する従業員がいた場合には、あらかじめ定めた罰則などを適用しなくてはなりません。また、違反者が多い場合には、ポリシーそのものに問題がある可能性があります。定期的にすべてのポリシーを監査し、必要であれば見直す必要があります。

このように、情報セキュリティポリシーの策定、導入、運用、評価といったサイクルを繰り返すことで、企業の情報資産を守り、情報漏洩などのリスクを低減することができるのです。

情報セキュリティポリシーに関するワンポイント講座は今回で終了です。次回からは個人情報保護法とITについて解説していきます。ぜひ、ご期待ください。

ワンポイント

策定・導入・運用・評価の繰り返しが企業を守る

(2006年03月20日掲載)