top
  • パートナーシップ
  • 採用情報
  • サイトマップ
  • English
  • 緊急連絡先
  • お問い合わせ

情報セキュリティ文書(ポリシー/ガイドライン)整備支援

情報セキュリティ文書(ポリシー/ガイドライン)整備支援 必要性

昨今、情報セキュリティ対策の必要性が浸透化し、情報セキュリティ管理策の一環であるセキュリティポリシー、ガイドラインの整備も終息した感がありますが、実態としては実効性の観点から整備が不十分である組織が少なくありません。

セキュリティポリシー、ガイドラインは、経営者のセキュリティに関する意志表明であり、対外的な説明責任を果たすために必要となるものです。また、ガイドラインは組織における全従業者の行動規範であり、足並みを揃えるためのより所(ルール集)となるものです。

また、セキュリティポリシー、ガイドラインは、上位文書の位置づけであり、組織全体に内在する各種規程・マニュアルの記載事項に大きな影響を及ぼします。(下位文書は上位文書に準拠するのが通例です)

さらに、情報セキュリティ文書については、管理すべき項目は人的セキュリティ、技術的セキュリティ、物理的セキュリティ、運用的セキュリティ、コンプライアンス対応と多岐にわたっているため、やみくもに整備してしまうと、情報量過多となり、体系化されていない読みづらい文書となってしまいがちです。
特に、重要事項の欠落した文書や、記載事項のボリュームが多すぎたり、理想論で固められた挙げ句、実効性の低い文書は、やがて形骸化し、役に立たない代物と化すだけでなく、文書管理のために無駄な労力を継続的に強いられる事態に陥ってしまいます。

そうならないためにも、情報セキュリティ文書を整備する目的及びあるべき姿を明確化し、戦略的かつ効率的に整備していくことが重要です。特に、情報セキュリティでは、これらの文書が対外的な説明責任を果たす上でも重要な位置づけとなります。重要事項及び管理領域(ドメイン)の欠落や、現場の実態と乖離した内容にならないよう、十分検討した上で慎重に整備を進める必要があります。

すでに情報セキュリティ文書を整備、運用されている組織においても、その実効性や過不足を改善する目的において、現状の文書群を改訂・再編成される余地があるかもしれません。
(充実した情報セキュリティ文書が整備されてから久しいにもかかわらず、セキュリティインシデントが一向に減らない、文書で規定されたルールが現場に浸透化していかない、十分な理解・協力が得られないなど)

情報セキュリティ文書(ポリシー/ガイドライン)整備支援 必要性

GSXコンサルティングの特色

ステップ

効果・メリット

情報セキュリティ文書(ポリシー/ガイドライン)整備には、下記のメリットがあります。

■組織としての情報セキュリティ管理に関する対外的な説明責任への対応
■情報セキュリティに関する外部監査、認証審査などへの円滑な対応
■経営層の情報セキュリティに関する意思表明・関与のエビデンス
■従業者の情報セキュリティに関する考え方の統一化、当事者意識の醸成
■属人性によるオペレーショナルリスクの低減(インシデントの減少)
■文書体系の正規化(スリム化)による文書管理の保守性の向上、管理コストの低減
■文書体系の正規化(スリム化)による参照性、理解度の向上
■関連する他の社内文書、外部文書(関連法令、ガイドラインなど)との整合性の確保

支援・実施実績

■大手生保会社における情報セキュリティ文書の整備
■大手システムインテグレーターのISO27001認証取得(ISMS構築)における情報セキュリティ文書整備
■大手通信事業者におけるISO27001認証取得(ISMS構築)における情報セキュリティ文書整備
■大手信託銀行における情報セキュリティポリシー整備
■各省庁、地方自治体における情報セキュリティポリシー、ガイドライン整備電力会社、大手製造業、大手金融機関、官公庁、自治体 など

Q&A

文書整備(第1版の策定)が完了までの所要期間の目安はどれくらいですか。

既存文書の整備状況、規模にもよりますが、キックオフから文書整備まで約3~6ヶ月程度です。セキュリティポリシーだけの整備であれば、約1ヶ月程度です。(ガイドラインまで含めると3ヶ月程度となります。さらに具体的なマニュアルなどの下位文書の整備まで含めると6ヶ月程度となります)
※ただし、組織内の文書承認手続きによって、第1版の策定時期が大幅に遅れるケースもございます。

情報セキュリティ文書は、どのような基準をベストプラクティスとして参照し、整備しますか。

貴社のニーズに応じて、様々な情報セキュリティ関連の基準を取り込むことが可能です。実績が高く、網羅的な基準としては、ISO27001/ISO27002がお勧めです。この基準を軸に文書整備することで、ISO27001(JISQ27001)認証に円滑に対応することが可能です。
また、金融機関などにおいては金融庁やFISC(金融情報システムセンター)のガイドラインの要求事項を関連付け、情報セキュリティ文書に取り込むことも可能です。また、上場企業においては内部統制評価項目やCOBITなどの項目を取り込むことも可能です。

文書整備の進捗状況および整備後の状況はどのように把握し、管理できますか。

整備中及び整備後の情報セキュリティ文書群は、文書マッピング表にて整備状況が俯瞰できるようになります。このマッピング表において、関連する基準・ガイドライン(たとえばISO27002やFISCの安全対策基準など)の要求事項との対応付けもなされています。そのため、各基準・ガイドラインへの対応状況・網羅性(もれ欠け)が容易に把握することができます。

Pagetop