起業と独立会社設立医療法人の会計税務会社の税務個人の税務中国ビジネス支援

助川公認会計士事務所 情報システム 04/05/30
情報セキュリティポリシー

1.セキュリティポリシーはなぜ必要か?

 組織体において、情報セキュリティに関連した意思決定をすることがあります。まず、その組織体のセキュリティの目標を明確にすることなしには、よい意思決定をすることはできません。そのセキュリティの目標が何であるのか、「何を守るのか」を明確にしないことには、有効にセキュリティツールを使いこなすこともできません。なぜならば、何をチェックすればよいのかわからないということですし、どのような制約を課するかがわからないということだからです。そこでセキュリティの目標事項を組織体の意思、すなわち「セキュリティポリシー」として取り決める必要があるのです。

 例えば、あなたの目標は、おそらく、システム会社の目標とは異なるものです。システム会社は、とかく自社製品の設定と運用をできるだけシンプルにしようとします。よって、セキュリティレベルの設定は、低くします。これによって、新製品をインストールすることは容易になりますが、同時に、このようなシステムと、これらを通じた他のシステムへのアクセスを、ユーザに開放したままにしてしまいます。どのようなセキュリティレベルに設定すべきか、会社としての方針( ポリシー)を決める必要があります。

セキュリティポリシーは、次の要素によって左右されます。

(1)「サービスの提供」と「セキュリティー」

 ユーザが使用する個々のサービスは、それぞれに固有のセキュリティリスクをもっています。サービスによっては、そのリスクはそのサービスから享受できる便益よりも大きい場合がありますので、会社は、それらにセキュリティ対策を施すのではなく 、そのサービスの停止することが望ましい場合もあります。セキュリティーリスクが高ければ、サービスを停止します。

(2)操作性」と「セキュリティー」

 最も使い勝手がよいシステムというものは、どんなユーザにもアクセスを許容してしまい、パスワードは要求しないものでしょう。つまり、セキュリティのないものということでしょう。パスワードを要求することによって、システムは幾分面倒になりますが、 セキュリティーレベルは向上します。

(3)「セキュリティのコスト」と「損失のリスク」

 セキュリティを設定するとさまざまなコストが発生します。しかし、セキュリティを設定しないことにより、会社に損失が生じるリスクが高まります。費用面では、ファイアウオールやワンタイム パスワード ジェネレータのようなセキュリティハードウエアとソフトウエアを購入するコストが生じます。 性能の面では、暗号化と復号化には時間がかかります。しかし、また、いくつものレベルのリスクがあります。セキュリティを設定しないと、たとえば、 承認されていない者が情報を読み、プライバシーの侵害が生じたり、情報の破損や消失が生じたり、あるいは、データ保存スペースが満杯になったり、ネットワークアクセスが不能になったりします。それぞれのタイプのコストは、それぞれのタイプの損失に照らして見積もらなければなりません。

2.セキュリティポリシーの内容

(1)セキュリティ対象とする情報資産

(2)監視と履歴のポリシー

(3)アクセスポリシー

 資産の消失や開示から守るために、ユーザ、運用スタッフおよび経営管理者のための許される使用法についてアクセス権限を定義するものです。これは、下記の項目のガイドラインとなっていなければなりません。

(4)責任のポリシー

 ユーザ、運用スタッフおよび経営管理者の責任を定義するものです。

(5)認証ポリシー

 有効なパスワードポリシーとリモートからの認証と認証デバイスの使用ガイドラインを設けることによってなされます。

(6)資源の可用性のポリシー

 ユーザに資源の可用性についての計画を示すものです。これは、運用時間と保守のためのダウンしている期間を明らかにするとともに、代理機能と復旧の論点にも言及している必要があります。それには、システムとネットワークの障害を報告する連絡先情報も含まれている必要があります。

(7)情報システムとネットワークの保守ポリシー

情報システムとネットワークをメンテナンス(保守)するため、テクノロジーをどのように扱たり、アクセスすることが、内部・外部の両方の担当者に認められているか、を記述するものです。ここで示されなければならない重要な論点は、「リモートメンテナンスがみとめられているか」ということと、「そのようなアクセスが、どのようにコントロールされるか」ということです。またアウトソーシングをどのように管理されるかということです。

(8)違反の報告のポリシー

 どのようなタイプの違反が報告されなければならないか (例: プライバシーとセキュリティ、内部と外部)。誰に報告されなければならないかを定めます。 脅かすのではない雰囲気で、匿名での報告を許可することによって、発見された際には、より多くの報告が寄せられます。

B10back.gif (1110 バイト)  B10HP.gif (1249 バイト) sukeban.gif (4262 バイト)