セキュリティポリシー整備のお仕事

情報セキュリティのお仕事で最近増えているのが、情報セキュリティーポリシーの整備です。

以下のようなきっかけでご依頼をいただいてます。
【中小企業のお客様の場合】大手企業との取引で情報管理体制のチェックを受けてポリシーが必要になった
【大企業のお客様の場合】情報漏えい事故をきっかけにポリシーの見直しを行うことになった

セキュリティコンサルティング

JNSA情報セキュリティポリシーサンプル

さて、まだ情報セキュリティポリシーを整備されていない企業の場合、JNSA(NPO日本ネットワークセキュリティ協会)が公開しているサンプルを利用するのが最も効率的です。

https://www.jnsa.org/result/2016/policy/

こちらは既に多くの企業で利用され実績があり、また、情報セキュリティの強化に必要な要素を網羅しているため抜け漏れのない対策を進める柱となります。

JIS Q 27001(ISMS認証の規格)

JNSAのサンプルを使用して情報セキュリティの整備を進め、次の段階(認証取得)を目指す企業もあります。

JNSAのサンプルはJIS Q 27001(ISMS認証の規格)、JIS Q 15001(プライバシーマーク認証で使用される規格)とも連携性が高く、認証取得に向けた整備も進めやすいという特徴があります。

さて、ISMS認証を取得しようとすると、ポリシーを JIS Q 27001に準拠させる必要があります。
https://www.jisc.go.jp/app/jis/general/GnrJISSearch.html
⇒ 「Q27001」を検索ください

具体的な管理策(JIS Q 27002、情報セキュリティ管理基準)

JIS Q 27001 では、セキュリティポリシーが満たすべき「要求事項」が記載されています。
実際にどんなことをすることで要求事項を満たせるか、については JIS Q 27002(情報技術−セキュリティ技術− 情報セキュリティ管理策の実践のための規範)が参考になります。
(上記のJIS検索で「Q27002」を検索ください)

また、経済産業省が公開している 「情報セキュリティ管理基準」も参考になります。
https://www.meti.go.jp/policy/netsecurity/is-kansa/index.html
(「情報セキュリティ管理基準」のリンクをお開きください)

こちらも、JIS Q 27001に準拠して、具体的な対策を列挙しており、情報セキュリティポリシーの整備では国内の多くの企業で利用されています。

その他の規定

JIS Q 15001(プライバシーマーク認証で使用される規格)や、PCI DSS(Payment Card Industry Data Security Standard、クレジットカード業界の情報セキュリティ基準)、NIST CSF、NIST SP800-171、CIS Controls、などにつきましては別の機会にご説明いたします。

おすすめの記事