組織のセキュリティ対策を効率よく、効果的に行うための指針であり、恒久的にセキュリティを維持するための仕組み。以下の3つのポリシーから構成される。
- エグゼクティブ・ポリシー(セキュリティ方針)
- ポリシー・スタンダード(セキュリティ運用管理基準または安全対策基準)
- プロシージャ(セキュリティ手順書)
エグゼクティブ・ポリシー | ・セキュリティ原則に基づく上位のポリシーで、社内規定に準ずる“憲法”のような存在 ・組織内のネットワーク/コンピュータシステム、運用実態から独立して規定 ・守るべきこと(情報漏洩防止やルール厳守など)を記述 ・頻繁に更新しない |
---|---|
ポリシー・スタンダード | ・企業リソースからプライオリティの高いリソースを決定 ・対策を実施カテゴリごとに分類し、リソースや実態を明記する“法律”のような存在 ・組織内のネットワーク/コンピュータシステム、運用実態に則して規定 ・上位のポリシーに定められた守るべき情報を実現するための“手段”を記述 |
プロシージャ | ・“日々の手順”を記述 ・一般社員、管理職、システム管理者、役員など、おのおのに適用される“手順”を規定 ・ポリシー・スタンダードを実践するための具体的な手段 |
セキュリティポリシーは、
- 会社のコンピュータやネットワークを、不正アクセスなどの脅威から守ること
- 会社を法的に守ること
- 利用者・管理者のセキュリティ意識を向上させること
など、ネットワークシステムを含む社内情報システムの運用・利用の指針を、運用管理者や利用者に伝達、順守させることを目的としており、ネットワークシステムを含む社内情報システムを円滑に運用するうえでの指針として、「何を」「どのように」「どの程度」行うのか、目標またはガイドラインを明確に表明したものである。
セキュリティポリシーを策定するにあたっては、BS7799(英国貿易産業省および英国産業規格協会により作成されたセキュリティ・マネジメント規格=A Code of Practice for Information Security Management)を活用するケースが増えてきた。BS7799は、主に民間企業の情報システムを対象とし、組織内で情報セキュリティに責任を持つ管理者および従業員への運用管理規範を示している。BS7799を活用することで、セキュリティ運用管理に関する網羅性を確保するとともに、国際標準という後ろ盾を得ることができる。
BS7799は、 以下のパートから構成される。
- パート1……情報セキュリティ管理実施基準
標準行動規約、情報システムの安全対策を指導(1995年策定、1999年改定) - パート2……情報セキュリティ管理システム仕様
情報セキュリティ・マネジメントのための枠組み、目的などを指定(1998年策定)
BS7799-1は、2000年10月に“ISO/IEC17799”として承認された。
関連用語
Copyright © ITmedia, Inc. All Rights Reserved.