ネットスクエアではISOやISMSの認証取得のほかに 情報セキュリティポリシーの策定の依頼を受けることがあります。 一体情報セキュリティポリシーの策定ってなんぞや！？ と思ってしまうのですが。。。 通常ISMSの様なマネジメントシステムでは、 Plan-Do-Check-Actのサイクルを維持して、 継続的改善を目指してゆく訳ですから、 情報セキュリティポリシーの策定は含まれます。 それではどこまでがポリシーの策定なのでしょうか？ ポリシー文書としては基本方針、規程、実施手順等がありますが、 それれらを作成するためにはリスクアセスメントが必要です。 勿論そのリスク評価によって対策基準が変わってきます。 また決められたルールを実施するためには教育が必要です。 そしてルール通り実施しているか確認するためには監査が。。。 てな感じで進めているとISMSになってしまいますね。 基本的にはマネジメントシステムを構築して、 その中でセキュリティに取り組まないとなかなか浸透しません。 ただこのご時世ですから、 情報セキュリティポリシーの策定というご依頼で、 ポリシー文書の作成と教育を実施することもお受けしています。 あとは皆さんがどこまでやられようとしているかですね。。。

この投稿は 2006/08/01 9:41 AM に 一般 カテゴリーに公開されました。 この投稿へのコメントは RSS 2.0 フィードで購読することができます。 現在コメント、トラックバックともに受け付けておりません。