セキュリティポリシーについて

知っておかなくてはいけない知識というものが、職種によって違ってきます。
では、セキュリティエンジニアに必要な知識とはなんでしょうか。いろいろありますが「セキュリティポリシー」について知っておかなくてはいけません。
これは組織でのセキュリティ対策を効率よく、また効果的に行うための方針です。恒久的にセキュリティを維持する為に必要なものなので、しっかりと認識しておく必要があります。このセキュリティポリシーは3つのポリシーから構成されています。

まず1つ目は「エグゼクティブ・ポリシー」です。
これはセキュリティの方針を表したもので、セキュリティ原則の中でも最も重要なものです。例えるなら「憲法」のようなものでしょうか。
迷った時にはこのエグゼクティブ・ポリシーに照らし合わせると良いでしょう。
このエグゼクティブ・ポリシーは運用実態からは独立して成り立っていますので、絶対的なものと考えて良いかと思います。
どのようなことを守らないといけないのか、といった情報漏洩防止やルール厳守について記述されているものですから、よほどの変革がない限り更新はされません。

2つ目は「ポリシー・スタンダード」というセキュリティの運用管理基準、または安全対策基準と呼ばれているものがあります。
企業ソースからプライオリティの高いソースを決定します。セキュリティ対策を実施するカテゴリごとに分類して、リソースや実態を明記します。こちらは「法律」のようなものだと考えて良いかもしれません。
組織内のネットワークやコンピュータシステム、運用実態に則して規定されます。守るべき情報を実現する為に必要な手段が記述されています。

最後の3つ目は「プロシージャ」です。これは実務に当たる部分で、「日々の手順」が記述されていて、一般社員、管理職、システム管理者、役員など、それぞれのすべき手順が記述されているものです。ポリシー・スタンダードを実践するための実行部、といったものです。

Leave a Comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です