情報セキュリティポリシーの見直しと変更
問 題 《情報セキュリティアドミニストレータ午後対策》
第4回 セキュリティポリシー運用のサイクル
http://www.atmarkit.co.jp/fsecurity/rensai/policy14/policy01.html
を読んで下記問いに答えよ。
(1)十分にリスク分析を行って情報セキュリティポリシーを策定した
つもりでも、現状にそぐわない規定が1つや2つ存在してしまい、
情報セキュリティポリシーの内容に対して同意を得るという作業
は困難である。情報セキュリティポリシーの見直しと変更におい
て大切なことは何か。
(2)ユーザーからの意見だけでなく、日々その形態を変え常に存在し
ている情報セキュリティの脅威に対応するために実施しなければ
ならないことは何か。
(3)感想・調べたこと
情報セキュリティアドミニストレータ午後対策の解説を何度も読みましょう。
解 説 《情報セキュリティアドミニストレータ午後対策》
(1)十分にリスク分析を行って情報セキュリティポリシーを策定した
つもりでも、現状にそぐわない規定が1つや2つ存在してしまい、
情報セキュリティポリシーの内容に対して同意を得るという作業
は困難である。情報セキュリティポリシーの見直しと変更におい
て大切なことは何か。
> ユーザーの意見は柔軟に取り入れて反映させ、どうしても変更できな
> いような内容についてはユーザーの理解を得られるように、その規定
> を守らなければならない理由をより分かりやすく記述し直すなどの柔
> 軟な対応を行うことが大切である。
セキュリティポリシの内容について、ユーザの理解を得るのは困難
です。特にセキュリティポリシのプロシージャ(手順)の内容につ
いてはユーザが理解しやすい記述にするなど工夫が必要でしょう。
ユーザにセキュリティポリシについて知らしめる時の表現として、
3つほど挙げておきます。情報セキュリティアドミニストレータ
試験の問題文に合わせて適宜選択してください。
ユーザの情報セキュリティに対する意識レベルの向上を図るために
は「同意を得る」という表現にしたほうが良いと考えます。
ユーザの意識レベル
高 ←------------------- 低
「同意を得る」>「周知徹底する」>「通知する」
> 策定後の運用をいかに適切に継続していくか、だと思います。
> 情報セキュリティポリシーは、場合によっては操作の利便性や効率性
> を否定することもあると思います。
> そのために結局は運用はされていない、というケースもあると思いま
> す。それらを防ぐためにも、リスクなどを考慮してバランスよくポリ
> シーを作成する必要があると思います。
情報セキュリティは、Plan(計画)-Do(実施)-Check(監視)-Act(改善)
と継続的にマネジメントサイクルを運用していく必要があります。
◇情報セキュリティポリシのマネジメントサイクル
情報セキュリティポリシは、策定しただけでは意味がなく、情報
セキュリティポリシに従い、運用を行い、日々変化していく業務、
環境に対応すべく継続的に改善を行う必要があります。
(2)ユーザーからの意見だけでなく、日々その形態を変え常に存在し
ている情報セキュリティの脅威に対応するために実施しなければ
ならないことは何か。
> となる。
> ーから出た意見や、収集したセキュリティー情報をもとに情報セキュ
> リティーポリシーの見直し・変更を適宜行い、その内容を再度ユーザ
> ーに配布し同意を得る。
情報セキュリティポリシはPDCAマネジメントサイクルの中で下記に
挙げたような事項に対応していきます。
・内部者からのフィードバック
・内部監査からのフィードバック
・処理の誤りやセキュリティ事件・事故の記録
・外部利害関係者からのフィードバック
・セキュリティ活動の実施状況
・環境(組織、技術的、物理環境、法令遵守など)の変化
> 情報セキュリティポリシーは適宜見直しを掛ける必要があります。
>
> -情報セキュリティポリシーの運用中にも、社内の組織変更があった
> り、新手のセキュリティの脅威が発生したりと、状況はどんどん変
> 化していく。その変化に伴って情報セキュリティポリシーの内容に
> は必ず追加・変更作業が発生するので、最初に説明した情報セキュ
> リティポリシー運用の一連の作業は、サイクルで果てしなく続くの
> である。情報セキュリティポリシーの内容を適宜見直し、変更する
> 作業が必須となる。
情報セキュリティポリシ策定時だけでなく、経営者はPDCAのマネジメント
サイクルでも関与しなければなりません。
組織の情報セキュリティの活動を確認し、どのような改善を実施すべきかについて
方向性を示します。
それにより、情報セキュリティマネジメントが有効かつ効果率的に運用される
ことになります。
(3)感想・調べたこと
> 調べた中で面白かったのは、策定するにあたってベンダーや専門家の
> 知識を借りたいが、ただしコストは掛けられないという事情(この時
> 点で情報セキュリティに関するリスクコントロールが適切にされてい
> るか不安なところですが...)
> により、政府発行のガイドラインなどを基に担当者が策定をしたが、
> 自社の業務の流れをまったく汲んでいないので、結局は運用されてい
> ないに等しい、という話がありました。
> それらを解消するために、ポリシーの基幹部分は共同アウトソーシン
> グを利用し、詳細については各自で負担する、といった自治体の事例
> もありました。これはもちろん基幹業務が統一されている自治体のよ
> うな特殊なケースだとは思いますが、一般企業でも業種などによって
> はあり得るかもな、なんて考えました。
ベースラインアプローチにより、セキュリティポリシを策定するのが
一般的になっていますが、やはり、組織の情報資産の洗い出し、リスク分析が
しっかりとなされていないと意味がないものになってしまいます。
情報セキュリティポリシの基幹部分を策定するにあたり、セキュリティコンサル
などの外部業者に委託したとしても、組織として取り組んでいくという
姿勢がないと継続的に運用していくのが困難となります。
> とても参考になりました。
間の溝をうまく埋めていくことが大切ですね。
sponsored link
このページ
のTOPへ
