8-1-1. セキュリティ対策基準の概要
情報セキュリティポリシーは、一般的に「基本方針」「対策基準」「実施手順・運用規則等」で構成されます。「基本方針」には、組織や企業の代表者による情報セキュリティに対する考え、必要性、取り扱い方針などの宣言が含まれます。「対策基準」には、各業務や部署におけるセキュリティ対策をまとめた規定を記載します。「実施手順」には、対策基準ごとに、対策内容を具体的な手順として記載します。
以下では、「対策基準」策定方法の考え方について、説明します。
基本方針
情報セキュリティに対する組織の基本方針・宣言を記述する
対策基準
基本方針を実践するための具体的な規則を記述する
実施手順・運用規則等
対象者や用途によって必要な手続きを記述する
図42. セキュリティ対策の関係図
(出典)総務省.”情報セキュリティポリシーの内容”. https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_executive_04-3.html,(参照 2023-08-21).
対策基準を外部に公開することで、セキュリティ対策の実施を内外に示し、説明責任を果たすことができます。ただし、対策基準で記載する内容は抽象度が高いため、具体的に実践で使用することは難しい内容です。実際に運用を行うためには、策定した対策基準に従って、実施手順などを作成する必要があります。
対策基準の内容を定める際は、網羅的なフレームワークを参考にすることが推奨されます。企業の現状、目標に応じてフレームワークを使用せずに段階的な対策基準の策定を行う場合は、「3-4-1. サイバーセキュリティアプローチ方法の概要」記載のアプローチ方法を参考にすることができます。アプローチ方法はレベルが上がるにつれ、網羅性も上がります。それぞれの特徴を次ページで説明します。
対策基準を策定するためのアプローチ方法