「情報セキュリティポリシー」の版間の差分
→組織でのセキュリティポリシー: 箇条書き.用字. |
→組織でのセキュリティポリシー: +対策基準 |
||
| 10行目: | 10行目: | ||
体系は、次の3階層からなる。 |
体系は、次の3階層からなる。 |
||
# セキュリティ基本方針(経営者の姿勢、宣言) |
# セキュリティ基本方針(経営者の姿勢、宣言) |
||
# ガイドライン |
# セキュリティ対策基準(ガイドライン) |
||
# |
# 実施手順、ルール |
||
'''情報セキュリティポリシー'''に限ると、各項目はこうなる。 |
'''情報セキュリティポリシー'''に限ると、各項目はこうなる。 |
||
2008年5月29日 (木) 03:50時点における版
- 企業などの団体におけるリスク管理についてまとめた規範。情報セキュリティポリシー。(後述1)
- 一般的には、ウェブサイトの管理者がサイト内での個人情報の扱いについて定めた規範。プライバシーポリシー、個人情報保護ポリシー。(後述2)
組織でのセキュリティポリシー
セキュリティポリシー(Security policy)とは、企業などの組織におけるリスク管理の一環として定めたセキュリティに関する基本方針とルールである。
本来は建物や特定区域への入退出などの物理的セキュリティも含むが、一般にはコンピュータとネットワークにおける情報セキュリティポリシーを指す場合が多い。
体系は、次の3階層からなる。
- セキュリティ基本方針(経営者の姿勢、宣言)
- セキュリティ対策基準(ガイドライン)
- 実施手順、ルール
情報セキュリティポリシーに限ると、各項目はこうなる。
- 情報の流出が組織の存亡にも関わりうるものであるとの認識と、それへの取組みを経営者(外部に対してはその組織)がする宣言
- その基本姿勢の下で、何に対してどのような対策を行うかの具体的基準
- その基準に基づいた個々のケースでのルールや施策
そのすべてをセキュリティポリシーという場合もあり、また 1. か 2. の文書を「セキュリティポリシー」と呼ぶこともある。
その具体的内容は、次のようなものである。
- どの情報を誰にアクセスさせ、誰にアクセスさせないか。
- どの操作を誰に対して許可し、誰に許可しないか。
- ウイルスや外部からの侵入に対して、どのような防御体制を整えるか。
- それらが正常に機能していることをどのように確認し、維持管理していくか。
それらの判断基準や、実施すべき対策を明確にすることによって、組織構成員(社員)のセキュリティに対する意識を向上させることも目的にしている。
外部に対しては、次の効果がある。
- 顧客情報・個人情報の取扱いに対するポリシーを公表し、約束することによって、不安を解消する。
- 組織内のセキュリティ対策にきちんと取り組んで、セキュリティ上の事故を防ぐ。
- 取組みをアピールすることによって、対外的なイメージや信頼性の向上を図る。
プライバシーポリシー
セキュリティポリシーの一般的に用いられる意味としては、 インターネットのウェブサイトにおいて、収集した個人情報をどう扱うのか(保護するのか、それとも一定条件の元に利用するのか)などを、サイトの管理者が定めた規範のこと。この意味においてプライバシーポリシー、個人情報保護ポリシーなど様々な言い方がされる。
この用法のセキュリティーポリシーは、利用規約の一部という形で記載している場合も多い。
ウェブサイトによっては、この中に「第三者に情報提供する場合がある」と明記されている場合がある。このためサイト利用者は、個人情報をインターネットに送信する際には、セキュリティーポリシーを熟読する必要がある。
免責事項には、「ウイルスなどの有害物が含まれていないこと、および第三者からの不正なアクセスのないこと、その他安全性に関する保証をすることはできません。」と記されていることがほとんどである。これは、インターネットの性質上、この責任まで負うと、大変な損害を被る可能性があるからである。
ただし、これらの場合においても、必ずしも免責が有効であるとは限らない。基本的にはウェブサイトの管理者の姿勢を宣言しているにすぎないこともある。
セキュリティポリシーは「制定している」・「持っている」だけではなんらその機能を生かすことができず、実行しなければ意味がない。