セキュリティ規程
ルールの作成・更新
セキュリティの規程は誰が守るべきルールなのかはっきりすると、わかりやすくなります。自分に関係ないと思っていた規程の一部分にだけ遵守するルールがあると見落としにつながり、ひいては事故につながる可能性があります。
Point① 規程を分割して対象者を明確にする
一つの規程に多くの対象者が存在すると、どの文章に対して守ればいいのか理解しづらいです。対象者ごとに規程を分けるという選択肢もあります。
Point② 必要な規程を作成する
セキュリティ規程を作成しても、これが足りないといったことは起こり得ます。必要な規程を網羅して、足りないものは作成していくことが重要です。
規程の例
| 規程名 | 概要 | 主な対象者 |
|---|---|---|
| インシデント対応規程 | インシデント時の手順や方針をまとめた規程 | インシデント対応責任者 情報システム関係者 |
| システム管理規程 | システムの管理・更新についてまとめた規程 | システム管理者、責任者 情報システム関係者 |
| 外部委託先管理規程 | 外部委託先に対しての管理方法や確認方法をまとめた規程 | 委託先管理者 |
| 監査規程 | 監査に伴う規程。内部監査を含んで記載する場合もあり | 監査担当者 |
ただし、文書の数が多くなると文書管理の手間が増え、文書をまとめると一つの文書当たりの分量が増えて読みづらいということが発生します。自社にとってどちらが有益なやり方かを検討する必要があります。