情報セキュリティポリシーの導入

運用するのは組織であるということ

安心してインターネットを使い、コンピューターを活用していくためには、情報セキュリティポリシーの導入と運用が欠かせません。
情報セキュリティを成立させるための条件として、機密性、完全性、可用性の3つがあります。

機密性は本来知るべきではない人に情報を知られない、完全性とは情報は改ざんされたりせずに完全な状態でなければいけない、可用性は必要な時に必要な情報を取り出せなければいけないということです。
この3つを維持していくための規定として、組織の方針を決めていくのが情報セキュリティポリシーになります。

この情報セキュリティポリシーを導入して運用していかなければ、どんなに優れた技術を投入し強固なセキュリティを作ったとしても、不完全な状態となってしまうでしょう。

情報セキュリティポリシーの策定として考えること

情報セキュリティポリシーは、いくつかの点に注意して作らなければいけません。

高度なネットワークになればなるほど、利便性は向上しますが、脅威も向上することになります。
そのために、情報セキュリティ管理を進めていかなければいけません。
この意識も統一しなければ効果を発揮できませんので、しっかりと明文化し各々が理解していなければいけないでしょう。

当然ですが、どんなものでも強固にすればいいわけではなく、可用性の問題からも必要に応じた強度を考えなければいけません。
そして、脅威にさらされた段階で、どれだけのインパクトがあるのかを試算し、対策も講じておかなければいけないのです。

評価と見直しを繰り返すこと

過去の事件からも、情報セキュリティポリシーとして、インパクトの測定や、現在の計画や運用に対する評価を行っていなかったりすることが目立ちます。
つまり、一度出来上がった情報セキュリティは完全であり、それで問題は解決しているのだと錯覚しているのです。

そのため、常に評価と見直しを行い、社印や職員といった担当者に対しての教育や啓発活動を繰り返していかなければいけません。
情報も秘術に日進月歩で進化するのですから、情報セキュリティポリシーとしても対応できるように盛り込んでいかなければ、形骸化したシステムを動かし、常にリスクにさらされることとなるのです。