情報セキュリティスペシャリストの過去問を解いていて、午前問題に関しては割と正答できるようになったと感じて6割も不可能ではないなと思っているんですが、午後問の長文問題全般をどう攻略するかが最近の悩みです。

さて、今回は情報セキュリティポリシについてです。

情報セキュリティポリシの概要

組織の情報資産を守るための方針や基準を明文化したものです。組織のリーダーによる明確な方針と、リスクアセスメント（前回記事参照）結果に基づいて対策基準が必要であると記されています。

• 基本方針

  情報セキュリティに対する組織としての一貫した考え方を示すもので、目的、対象範囲、維持管理体制、義務、罰則などがあります。

• 情報セキュリティ対策基準

  基本方針を実践し、適切な情報セキュリティレベルを維持・確保するための具体的な遵守事項や基準を記述しています。

セキュリティポリシの位置づけとしては企業の社訓、経営理念、就業規則といった既存の方針や規則などと何らかのかかわりをもつことは必至です。

企業としては有効性を高めるためにはその位置づけや、他の規則や規定との関係を明確にしておかなければならないのです。そうしなければ資産を守るためのポリシが他の規則と衝突してしまう可能性があるからです。

情報セキュリティポリシ策定・運用による効果

1.セキュリティレベルの向上

既にセキュリティ対策が施されていても、それぞれを総合的に管理・運用するための方針、知識がないため、十分な効果が得られていないというケースはよくあるらしいです。セキュリティポリシによって組織の求めるセキュリティレベルを明確にし、それを目指して問題箇所を改善していくことができます。あやふやなまま改善するより圧倒的に有効です。

2.セキュリティ対策の費用対効果の向上

リスクに応じた適切なセキュリティ対策を施すことで、限られた予算で最大限の効果を得ることが可能になります。セキュリティポリシを策定しないままだとどのリスクに対して、どれだけの費用をかけるかもわからずに対策することになるので下手をすれば大きな損益を被ることになりません。

2.対外的な信頼性の向上

セキュリティポリシを策定・実施することでよそから見たときの組織の信頼性を高めることができます。

ひとまずこんな感じでしょうか。最近の社会では企業の資産として　１、人　２、金　３、設備　４、情報　と言われるぐらい情報は価値を持っています。企業としてそれを守るのは当然ですが全部紙におこしてファイルに挟んで金庫で保管！なんてやってたらいつまでたっても終わりませんし引き出すときにも面倒くさいです。ほぼPCに情報を保管する現代において情報を守るための手法、基準、リスクの対応などは確実に必須となるものなんでしょう（働いてないのでわかりませんが…）。技術的な知識だけでなくこういった経営についてや倫理、法律的な知識も必要となるのが情報セキュリティという分野なので面白いですね。まだまだ知らないことが沢山あるのでもっと色々調べていきたいと思います。

逆に一番乏しいのは技術的な知識なのでそこをどうするかが今後の課題です…　誰か先生みたいな人いませんかね…