情報セキュリティポリシー策定のための組織と手順

 情報セキュリティポリシー策定の組織

ISMSにおけるポリシー策定や運用では、組織内を横断的に取りまとめる組織が必要で、 その委員会を、情報セキュリティ委員会と呼びます。
これは各部門の管理者で構成される組織で、 CISO(Chief Information Security Officer:情報統括役員)が 委員長になります。
そして、情報セキュリティ委員会の窓口となる事務局を設置してISMSを運営します。
また実際のポリシーの詳細な策定は、タスクフォース(Task Force)と よぶプロジェクトチームを作って行います。 これは、各部門のセキュリティ担当者で次のように構成されます。

 セキュリティポリシー策定の手順

ISMS(Information Security Management System)では、 リスク評価を行い、必要なセキュリティレベルを定めて運用します。
それに必要な枠組みは、狭義のセキュリティポリシー、 管理目的、管理策、システム運用です。
このシステム運用で、文書管理と記録管理を含むことになります。
このセキュリティポリシー策定の確立は次の10ステップに沿って行うと よいでしょう。

最終的に残留リスクがどの程度あるかを明確にし、 経営陣の承認を得て運用することを適用宣言書に記載することが大切です。
ここに、サンプル(NPO JNSA 日本ネットワーク・セキュリティ協会:情報セキュリティ基本方針)を示します。

なおここで述べているアセスメント(assessment)とは、リスク価値を評価することです。