情報セキュリティ(14)　情報セキュリティ規程の作成

会社を取り巻く情報セキュリティリスクに対して、会社の事業特性などを踏まえた情報セキュリティ規程を作成します。まず情報セキュリティリスクの分析を行い、更に対策を検討し、それを規程化するというプロセスになります。

①対応すべきリスクの特定
情報セキュリティの重大事故などを踏まえて、何が起こらないようにするべきかを考えます。そのためには、会社を取り巻く外部環境（取引先、法律、情報セキュリティ事故など）と、会社自体の内部環境（取り扱う情報、業務の特性など）を把握し、どのような情報セキュリティリスクが存在するかを分析します。

②対策の決定
分析したリスクに対する対策を検討し、決定します。リスクは、発生する確率と、発生した際の損害の掛け算です。発生する確率が低く、発生時の損害も小さいのであれば、対策費をかけてもコストに見合わないこともあります。逆に、発生する確率が高く、発生時の損害も大きいのであれば、コストをかけても対策をすべきでしょう。リスクに見合った合理的な判断を行い、対策を決定します。

③情報セキュリティ規程の策定
決定した対策を、文書化した規定を作成します。 規程は、組織的対策、人的対策、情報資産管理、アクセス制御及び認証、物理的対策、IT機器利用、IT基盤運用管理、システム開発及び保守、委託管理、情報セキュリティインシデント対応ならびに事業継続管理、個人番号及び特定個人情報の取り扱い、などの項目を記載します。

独立行政法人情報処理推進機構（IPA）のセキュリティセンターが、情報セキュリティ関連規程のサンプルを提供しているので、これを参考にするとよいと思います。