トリコロールな猫/セキュリティ

思いついたことをぼちぼち書いてます。

情報セキュリティポリシーを書くときに使えそうな情報を集めてみた

情報セキュリティポリシーは、基本方針(狭義のポリシー)、対策標準(スタンダード)、実施手順書(プロシージャ)の3つからなります。基本方針は偉い人の「頑張りまーす」という宣言なのであまり口は挟めず、実施手順書はマニュアルなのでわざわざ集めなくても情報は豊富だろうということで、スタンダードを書くときに役立ちそうな情報を集めました。

つらつらと書いてますが、結局「サンプルあり」のとこに載せたJNSAのサンプルと総務省の地方公共団体向けのガイドラインだけで書ける気がする。

法律、ガイドライン等

情報セキュリティポリシーに関するガイドライン
平成12年(=西暦2000年)に策定された情報セキュリティポリシーに関するガイドラインの一部改定版。これが最新?


経産省のガイドラインリスト
経産省系はここに一通りそろってます。

ポリシーはこれに準拠したことを書けよ、と。

平成12年最終改定と古いけど一度は読むべき。

同上。通産省すよ通産省。

概念・書き方

情報セキュリティマネジメントとは|組織幹部のための情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト
ポリシーとはなんぞやという人向け。事故・被害の事例はかなり具体的でいいすね。


学校情報 セキュリティハンドブック
学校向けの資料でリスク分析の方法なんかは学校特有の感じがするものの、ポリシーのチェックリストや雛形などがあっていいです。


『情報セキュリティポリシー』策定のための基本的な考え方
これもタイトル通り、ポリシーとは何ぞやという人向け。基本方針、対策標準、実施手順の具体例があって良いです。書かれたのは2003年ですけど・・。


情報セキュリティポリシー入門:実践! セキュリティポリシー運用(1) - @IT
これもだいぶ古いんですが、後で出てくるJNSAのサンプルを書いた方の記事なので合わせて読むといいと思います。


中小企業における組織的な情報セキュリティ対策 ガイドライン
ちょっと冗長で見出しも長いしこのフォント嫌いだしでアレですが、セキュリティ対策といったときに何をしなければならないかという切り口で書かれていて、これの中から自社がやるべきことを選んで列挙すればそれがスタンダードになる。かもしれない。

サンプルあり

情報セキュリティポリシー・サンプル(0.92a版)
解説書あり。電子メール利用基準、ネットワーク構築基準など、目的ごとに別のファイルになっていて参照しやすい。

(2016年3月30日追記:JNSAのサンプルは2016年3月29日付で1.0版が公開されています。こちらを参照ください。)
security.nekotricolor.com

地方公共団体における 情報セキュリティポリシーに関する ガイドライン(平成 27 年 3 月版)
書き方と例文。これとJNSAのサンプルだけでスタンダードは書けそう。


高等教育機関の情報セキュリティ対策のためのサンプル規程集 (2013 年版)
各項目についての解説付き。

余談

最初に載せた情報セキュリティポリシーに関するガイドラインが策定された2000年は、科技庁始め官公庁のサイトが続けて改ざんされた年なんですよね。1月に改ざん、2月に情報セキュリティ対策推進会議(NISCの前身)立ち上げ、7月にガイドライン策定という素早さ。
当時の情報セキュリティ対策推進会議の活動記録が首相官邸ホームページにあって、会合の議事要旨とか歴史を感じさせて面白いです。ここには第3回会合までしか載っていませんが、NISCのサイトには全部載ってるみたいですね。でもこっちは決定事項のみで議事要旨はないようで。

にしても、新しい情報が全然ないのは意外でした。元になっているBS7799からのISO20072は2013年に改定されているのに。
ISO20072:2013の国内規格JIS Q 27002:2014

でもISMS認証が来年度変わるようなので、それに合わせて新たなガイドラインが出てきそうですね。

セキュリティ全般の情報源についても以下でまとめていますのでよろしければご一読ください。
security.nekotricolor.com