情報セキュリティ文書(ポリシー/ガイドライン)整備支援

情報セキュリティ文書(ポリシー/ガイドライン)整備支援 必要性

昨今、情報セキュリティ対策の必要性が浸透化し、情報セキュリティ管理策の一環であるセキュリティポリシー、ガイドラインの整備も終息した感がありますが、実態としては実効性の観点から整備が不十分である組織が少なくありません。

セキュリティポリシー、ガイドラインは、経営者のセキュリティに関する意志表明であり、対外的な説明責任を果たすために必要となるものです。また、ガイドラインは組織における全従業者の行動規範であり、足並みを揃えるためのより所(ルール集)となるものです。

また、セキュリティポリシー、ガイドラインは、上位文書の位置づけであり、組織全体に内在する各種規程・マニュアルの記載事項に大きな影響を及ぼします。(下位文書は上位文書に準拠するのが通例です)

さらに、情報セキュリティ文書については、管理すべき項目は人的セキュリティ、技術的セキュリティ、物理的セキュリティ、運用的セキュリティ、コンプライアンス対応と多岐にわたっているため、やみくもに整備してしまうと、情報量過多となり、体系化されていない読みづらい文書となってしまいがちです。
特に、重要事項の欠落した文書や、記載事項のボリュームが多すぎたり、理想論で固められた挙げ句、実効性の低い文書は、やがて形骸化し、役に立たない代物と化すだけでなく、文書管理のために無駄な労力を継続的に強いられる事態に陥ってしまいます。

そうならないためにも、情報セキュリティ文書を整備する目的及びあるべき姿を明確化し、戦略的かつ効率的に整備していくことが重要です。特に、情報セキュリティでは、これらの文書が対外的な説明責任を果たす上でも重要な位置づけとなります。重要事項及び管理領域(ドメイン)の欠落や、現場の実態と乖離した内容にならないよう、十分検討した上で慎重に整備を進める必要があります。

すでに情報セキュリティ文書を整備、運用されている組織においても、その実効性や過不足を改善する目的において、現状の文書群を改訂・再編成される余地があるかもしれません。
(充実した情報セキュリティ文書が整備されてから久しいにもかかわらず、セキュリティインシデントが一向に減らない、文書で規定されたルールが現場に浸透化していかない、十分な理解・協力が得られない等々)

GSXコンサルティングの特色

point1

弊社は、情報セキュリティ分野においては、ISO27001を軸とした情報セキュリティマネジメントシステム(ISMS)が国内に導入される以前より、英国政府の情報セキュリティ規格であるBS7799を軸とした多数のコンサルティング実績があります。

point2

情報セキュリティ文書(ポリシー/ガイドライン)の整備においては、様々な業種・業態・規模の組織に対して、文書整備のコンサルティング支援を手掛けてきており、組織の事業内容・実情を反映した実効性の高い文書の整備をお約束します。

point3

経産省や金融庁等のセキュリティに関するガイドライン、業界独自のガイドライン、内閣官房情報セキュリティセンター(NISC)の政府統一基準、COBIT、ITILなど、組織の関係する各種ガイドライン・基準を情報セキュリティ文書に反映することも可能です。弊社のコンサルタントは、各省庁・業界ガイドラインはもちろんのこと、様々な分野のガイドライン・基準に精通しています。

point4

やみくもに文書整備を進めるのではなく、組織の現状を把握した上で、文書整備の目的と将来像(あるべき文書体系等)を明確化し、戦略的に文書整備を推進いたします。

point5

ISO27001/ISO27002などの情報セキュリティのベストプラクティスを模倣した雛形文書を渡して終わるのではなく、お客さまの目線に立ち、お客さまと一緒に考え、各文書が整備(制定)されるまで責任をもってサポートいたします。

point6

文書整備の期間中は定期的にワーキンググループを開催し、オンサイトでご支援を行います。また、お客さまからのご相談やご質問に対して、電話、Eメール受付を随時行っており、迅速かつ的確なサポートをお約束します。

構築ステップ

step1

調査前の協議
対象部門・対象サービス等のスコープ選定、実施要領の説明、スケジュール調整

step2

ITSMSアセスメント実施計画書の策定
実施要領の具体化、社内アナウンス等

step3

文書調査
SLA・各種サービス運用規程・マニュアル・記録類等、スコープ内で運用中のものが対象

step4

インタビュー調査
スコープ内の管理者層、リーダー層に対するサービス運用状況のヒアリング

step5

現地調査
ITサービスを運営しているオペレーションルーム、マシンルーム等の視察

step6

調査結果の分析・評価
ISO20000/ITILを軸としたベストプラクティスと調査結果のギャップ分析

step7

調査報告書作成
レーダーチャート、一覧表、文章で分かり易くレポーティング

step8

調査報告会
組織のキーマンに対して、調査結果を御説明し、今後の改善に向けた提言を実施

step9

フォローアップ
調査結果・改善提案の不明点、および具体的な改善計画立案に向けたアドバイザリー支援

導入後の効果・メリット

情報セキュリティ文書(ポリシー/ガイドライン)整備には、下記のメリットがあります。

■組織としての情報セキュリティ管理に関する対外的な説明責任への対応
■情報セキュリティに関する外部監査、認証審査等への円滑な対応
■経営層の情報セキュリティに関する意思表明・関与のエビデンス
■従業者の情報セキュリティに関する考え方の統一化、当事者意識の醸成
■属人性によるオペレーショナルリスクの低減(インシデントの減少)
■文書体系の正規化(スリム化)による文書管理の保守性の向上、管理コストの低減
■文書体系の正規化(スリム化)による参照性、理解度の向上
■関連する他の社内文書、外部文書(関連法令、ガイドライン等)との整合性の確保

支援実績

■大手生保会社における情報セキュリティ文書の整備
■大手システムインテグレーターのISO27001認証取得(ISMS構築)における情報セキュリティ文書整備
■大手通信事業者におけるISO27001認証取得(ISMS構築)における情報セキュリティ文書整備
■大手信託銀行における情報セキュリティポリシー整備
■各省庁、地方自治体における情報セキュリティポリシー、ガイドライン整備

Q&A

Q1

文書整備(第1版の策定)が完了までの所要期間の目安はどれくらいですか。

A1

既存文書の整備状況、規模にもよりますが、キックオフから文書整備まで約3~6ヶ月程度です。セキュリティポリシーだけの整備であれば、約1ヶ月程度です。(ガイドラインまで含めると3ヶ月程度となります。さらに具体的なマニュアル等の下位文書の整備まで含めると6ヶ月程度となります)
※ただし、組織内の文書承認手続きによって、第1版の策定時期が大幅に遅れるケースもございます。

Q2

情報セキュリティ文書は、どのような基準をベストプラクティスとして参照し、整備しますか。

A2

貴社のニーズに応じて、様々な情報セキュリティ関連の基準を取り込むことが可能です。実績が高く、網羅的な基準としては、ISO27001/ISO27002がお勧めです。この基準を軸に文書整備することで、ISO27001(JISQ27001)認証に円滑に対応することが可能です。また、金融機関等においては金融庁やFISC(金融情報システムセンター)のガイドラインの要求事項を関連付け、情報セキュリティ文書に取り込むことも可能です。また、上場企業においては内部統制評価項目やCOBIT等の項目を取り込むことも可能です。

Q3

文書整備の進捗状況および整備後の状況はどのように把握し、管理できますか。

A3

整備中及び整備後の情報セキュリティ文書群は、文書マッピング表にて整備状況が俯瞰できるようになります。このマッピング表において、関連する基準・ガイドライン(たとえばISO27002やFISCの安全対策基準等)の要求事項との対応付けもなされています。そのため、各基準・ガイドラインへの対応状況・網羅性(もれ欠け)が容易に把握することができます。