情報セキュリティポリシーの策定

ネットスクエアではISOやISMSの認証取得のほかに 情報セキュリティポリシーの策定の依頼を受けることがあります。 一体情報セキュリティポリシーの策定ってなんぞや!? と思ってしまうのですが。。。 通常ISMSの様なマネジメントシステムでは、 Plan-Do-Check-Actのサイクルを維持して、 継続的改善を目指してゆく訳ですから、 情報セキュリティポリシーの策定は含まれます。 それではどこまでがポリシーの策定なのでしょうか? ポリシー文書としては基本方針、規程、実施手順等がありますが、 それれらを作成するためにはリスクアセスメントが必要です。 勿論そのリスク評価によって対策基準が変わってきます。 また決められたルールを実施するためには教育が必要です。 そしてルール通り実施しているか確認するためには監査が。。。 てな感じで進めているとISMSになってしまいますね。 基本的にはマネジメントシステムを構築して、 その中でセキュリティに取り組まないとなかなか浸透しません。 ただこのご時世ですから、 情報セキュリティポリシーの策定というご依頼で、 ポリシー文書の作成と教育を実施することもお受けしています。 あとは皆さんがどこまでやられようとしているかですね。。。

コメントは受け付けていません。

Categories
Bookmarks
Search
Archive