2min. read

ITセキュリティ ポリシーとは

 

情報テクノロジ(IT)セキュリティ ポリシーは、組織のIT資産およびリソースにアクセスして使用するすべての個人に対するルールおよび手続きを規定します。有効なITセキュリティ ポリシーは組織の文化のモデルとなり、そのルールおよび手続きは、情報や仕事に対する従業員のアプローチに基づいて定められています。したがって、有効なITセキュリティ ポリシーは組織ごとに固有のドキュメントであり、リスク許容度に関する従業員の考え方、情報をどのようにとらえ、評価するか、またその結果としてその情報に対して維持される可用性に基づき作られています。このような理由から、多くの企業は、定型的なITセキュリティ ポリシーでは、従業員が情報を実際にどのように使用し、社内および外部に対して共有しているかに関する考慮が欠けるため、不適切であると考えます。

ITセキュリティ ポリシーの目的は、組織のメンバーが使用しているシステムおよび情報の機密性、完全性、および可用性を維持することです。この3つの原則はCIAの3要素と呼ばれています。

  • 機密性(Confidentiality)は、不正なエンティティからの資産の保護に関わります。
  • 完全性(Integrity)では、資産の変更が指定および許可された方法で行われることを保証します。
  • 可用性(Availability)は、許可されたユーザーが前述の資産に継続的にアクセスできるシステムの状態を指します。

ITセキュリティ ポリシーは、進化するビジネスおよびIT要件に適応するように継続的に更新される生きたドキュメントです。国際標準化機構(ISO)や米国国立標準技術研究所(NIST)などの機関が、セキュリティ ポリシーの策定に関する標準およびベストプラクティスを公開しています。全米研究評議会(NRC)での規定に基づき、企業ポリシーの仕様は以下に対処する必要があります。

  1. 1. 目的
  2. 2.適用範囲
  3. 3.特定の目標
  4. 4.コンプライアンスに対する責任およびコンプライアンス違反発生時に取るべき措置

また、すべてのITセキュリティ ポリシーには、組織の業種に適用される規制の順守に関するセクションも必要です。このような規制の一般的な例としては、全世界で適用されるPCIデータ セキュリティ スタンダードおよびバーゼル合意や、米国のドッド=フランク ウォール街改革・消費者保護法、医療保険の相互運用性と説明責任に関する法律、金融取引業規制機構などが挙げられます。これらの規制機関の多くでは、その機関自体でも書面でのITセキュリティ ポリシーが求められています。

組織のセキュリティ ポリシーは決定や方向性に関して大きな役割を果たしますが、戦略や使命を変えてはなりません。したがって、高い生産性と革新の継続を支えるには、ポリシーは組織の既存の文化および構造的枠組みを基に作成することが重要であり、組織およびその従業員が使命や目標を達成することを妨げるような汎用ポリシーであってはなりません。