(情報セキュリティポリシーとは?)
前回、情報セキュリティポリシーというルールがあると書きましたが、これは、法律や条例などではなく、組織としての内部的なルールです。
商務省の「国民のためのサイバーセキュリティサイト」では、以下のような説明がされています。
情報セキュリティポリシーとは、企業や組織において実施する情報セキュリティ対策の方針や行動指針のことです。情報セキュリティポリシーには、社内規定といった組織全体のルールから、どのような情報資産をどのような脅威からどのように守るのかといった基本的な考え方、情報セキュリティを確保するための体制、運用規定、基本方針、対策基準などを具体的に記載するのが一般的です。
情報セキュリティポリシーの概要と目的|国民のためのサイバーセキュリティサイト
(情報セキュリティポリシーの構成)
上記のように、情報セキュリティポリシーには、「基本方針」、「対策基準」が含まれますが、それらを踏まえた具体的な「実施手順」の3つの階層で、構成を理解するとわかりやすいと思います。(「基本方針」「対策基準」「実施手順」までを、情報セキュリティポリシーの構成としている例もあるようです。)
情報セキュリティポリシーの構成
基本方針 → 対策基準 (→ 実施手順)
まず、「基本方針」には、組織として「なぜ情報セキュリティが必要であるのか」や「どのような方針で情報セキュリティを考えるのか」といった内容が記載されています。教育委員会も地方自治体の一部局ですので、公立学校を対象とした教育情報セキュリティポリシーが策定される場合でも、基本方針の部分は、地方自治体の情報セキュリティポリシーと共通のものとなるはずです。
「対策基準」には、情報セキュリティ対策の指針として、どのような対策を行うのかということが記載されます。文科省の策定している「教育情報セキュリティポリシーガイドライン」は、この「対策基準」の部分のガイドラインとなっています。
最後に「実施手順」には、それぞれの対策基準ごとに、実施すべき情報セキュリティ対策の内容を具体的に手順として記載します。「具体的な手順」というとちょっと分かりにくいかもしれませんが、いわゆるマニュアルのことと思えばいいと思います。この部分は各自治体(教育委員会)がそれぞれの実情に応じて定めています。
なにか問題が発生したときに、具体的な手順を踏まえていたかという点が、過失の有無の判断などでポイントになりますので、単なるマニュアルと軽視せずに「実施手順」をよく理解しておくことが重要と思います。。
(ポイント)
・情報セキュリティポリシーは、各組織が定める内部のルール。
・情報セキュリティポリシーは、基本方針、対策基準(、実施手順)で構成。