(1)情報セキュリティポリシ
 情報セキュリティポリシとは,セキュリティ対策の基本方針であり,今や多くの企業で策定されています。
 基本方針を策定することで,社員の中でセキュリティに関する統一した意識が醸成されてセキュリティが強化されます。加えて,コストを抑えたセキュリティ対策が行えるのです。
情報セキュリティポリシー
 例えば、家庭での泥棒対策で考えます。玄関の鍵の強化,監視カメラ,赤外線のセンサー,外部機関による警備の依頼など,対策はたくさんあります。すべてを実施してはお金がいくらあっても足りません。そこで、大切なものは金庫に入れて保管するという方針(セキュリティポリシを作って運用する)にすれば,金庫を購入し,常に金庫に保管するだけである程度の対策ができます。きちんと金庫に入れるという運用ルールさえ守られれば、対策コストが下がるのです。

(2)情報セキュリティポリシの3階層
 情報セキュリティポリシは3階層からなります。「憲法」の下に「法律」があり,「法律」の下に「政令や条例」があるのと同様です。
5c0cc400.gif
 
①基本方針・・・憲法にあたる部分
 情報セキュリティ対策の「考え方」が述べられており,通常は3~4ページ程度です。セキュリティポリシの目的,対象範囲,対策,社員の義務などがさらりと書かれています。「うちの会社が守るべき情報資産は××で,物理的対策や人的対策などをして,情報保護をしなさい」という簡単な記載です。
 基本方針は、内部向けだけでなく、対外的に「セキュリティを守ります!」という宣言することを目的とする場合もあります。
②対策基準・・・法律にあたる部分
 具体的な対策です。例えば,「情報資産をI~IIIの3つにランク分けしましょう」「メールでIIとIIIの情報を送る場合は暗号化しましょう」「I~IIIの情報が入っているパソコンにはセキュリティワイヤーで固定し,パスワードをつけましょう」などと、基本方針に比べて具体的な記載があります。
③実施手順,規定類・・・条例にあたる部分
 対策基準より,更に具体的な内容です。上記のパスワードを例にすると,「パスワードは英数含む8文字以上とする」「パスワードは3ヶ月に1回変更する」「パスワードを忘れた場合は,上長に申請をし,上長から××課を通じて発行する」などの記載があります。

この中で、1)基本方針と2)対策基準を合わせたものが、「セキュリティポリシ」と呼ばれる。 
 セキュリティポリシの例が過去問にあるので引用する。 
情報セキュリティポリシ
                                   社長
Ⅰ.基本方針
 V社は,ホテルとスポーツクラブの運営を通じて,お客様に満足していただけるサービスを提供する企業である。お客様サービスにとって重要な個人情報に関する情報セキュリティの確保を最優先に行動する。
Ⅱ.対策基準
1. 適用範囲
(1) 本基準は,役員,管理職及び従業員に適用する。
(2) 本基準は,V社で利用するすべての情報資産(ハードウェア,ソフトウェア,ネットワーク,データベース,記録媒体及び書類)に適用する。
2. 情報セキュリティ委員会
 (省略)
(3) 情報セキュリティ委員会は,必要に応じて情報アクセス管理者を任命する。
 (省略)
3. 情報の管理
(1) V社が守るべき情報には,その重要度に応じてA(きわめて重要)~D(重要でない)のランクを付ける。
  なお,個人情報は,Aランクとする。
(2) Aランクの情報をパソコンで取り扱う場合には,業務終了時に消去する。
(3) Aランクの情報の印刷,コピー及び破棄は上司の許可を得てから行い,管理記録を残す。
4. アクセス管理
(1) Aランクの情報を保存する機器は,物理的に隔離する。
(2) 情報資産への適切なアクセス権限を設定する。
(3) 従業員が個人データにアクセスする場合には,その都度,情報アクセス管理者の許可を得る。
(4) 利用者IDとパスワードの発行,停止は,本社で迅速に行う。
(5) 利用者IDは,共用しない。
(6) 本社サーバと各スポーツクラブのローカルサーバへのアクセス記録は,すべてログに残し,その内容を定期的にチェックする。
5. インターネットアクセス
 (省略)
6. 事故対応
 (省略)
7. Webベースシステムによる教育
 (省略)
8. 情報セキュリティ監査
 (省略)
9. 罰則規定
(以下,省略)
図5 V社の情報セキュリティポリシー(改定後) (H16SU午後Ⅱ問1より引用)
この例で言うと、「1)基本方針」は「ポーツクラブの運営を通じて、お客様に満足していただけるサービスを提供する企業である。お客様サービスにとって重要な個人情報に関する情報セキュリティの確保を最優先に行動する。」の部分だけだ。 
「2)対策基準」に関しては、例えば4(2)にて「情報資産への適切なアクセス権限を設定する。」とあり、個別の方針が作成されている。しかし、「適切なアクセス権限」が何かが具体的にされておらず、詳細な手順に関しては、「3)ィ実施手順、規定類」にて記載されることになる。 

「3)実施手順、規定類」は、企業ごとに内容が異なるが、過去問にその例があるので引用する。
1.アルファベットの大文字と小文字,数字,記号をランダムに並べ,当該本人情報から推測できるような情報を含めない。 2.一般に使用される単語,及びテレビ,ラジオなどのメディアで使用されている流行語や時事用語などは使用しない。 3.8文字以上の文字列とする。図1 PINの設定に関するガイドライン(H18SV午後Ⅰ問3より引用)

参考URL
http://www.ipa.go.jp/security/manager/protect/pdca/policy.html
・政府による情報セキュティ対策推進会議にて決定された「情報セキュリティポリシーに関するガイドライン(政府)」
http://www.kantei.go.jp/jp/it/security/taisaku/pdfs/ISP_Guideline.pdf