【1-7】ガバナンスの文書化

ガバナンスを組織内に説明するために文書化(ポリシー、スタンダード、プロシージャ、ガイドライン)を行います。
ガバナンスについての説明は「【1-2】セキュリティガバナンスの原則の適用」にも記載しています。

ポリシー

ポリシーとは、ガバナンスを文書化したものです。
ポリシーは、組織全体の長期計画や戦略を説明するために、上級管理職が発行します。
セキュリティポリシーでは、セキュリティの最終的なゴールを記載されています。

スタンダード

スタンダードとは、具体的な規則のことです。
制定法や行政法、判例法(裁判の判例)、業界標準等が当てはまります。

組織は署名したスタンダードに従う必要があり、従わなかった場合は、法的機関による基礎や罰金につながる可能性があります。

プロシージャ

プロシージャとは、非常時(災害等の脅威の発生)に対処するための活動です。
災害復旧時のチェックリストや侵入検知ログの確認などが該当します。

ガイドライン

ガイドラインとは、目標を達成するための手法です。
ガイドラインは規則ではなく、ポリシーやプロシージャ、スタンダードの準拠を達成する方法です。

人的セキュリティポリシー

ポリシーの実行には、組織の従業員が頼りとなります。
人的セキュリティの管理をしないと、従業員が懐柔され組織に影響を及ぼす「インサイダー脅威」が発生する可能性があります。
組織に人の出入りが発生する際(雇用、退職等)にはインサイダー脅威の対策が必要となります。
選考時のインサイダー脅威の対策には、下記のような例があります。

組織が従業員の選考を終え、採用する際にも、人的セキュリティの管理を行う必要があります。
セキュリティ強化には、以下のような例があります。

従業員の雇用後には新人研修の実施も重要となります。
新人研修で、契約の条件、仕事内容、セキュリティポリシーやプロシージャを教える正式なトレーニングを行います。
また、秘密保持契約の署名や、情報のアクセスを行うツールの提供や説明も必要となります。

退職時には、従業員のITアカウントのロック、デバイス等の所有物の回収を行います。
従業員の退職面談を実施し、秘密保持契約の条件を確認します。

組織外のベンダやコンサルタントがIT環境にアクセスすることもあります。
従業員以外のアクセスを適切に規制するプロシージャやプロセスの作成が必要となります。
従業員以外のアクセスに関する制御の例を以下に示します。

コンプライアンスポリシー

組織は従業員全員に、利用規約(Agreed Upon Procedures：AUP)も利用します。
AUPはITやデータの利用について、ユーザとしての観点で遵守事項を記載しています。

AUPには一般的に以下の内容を定義します。

• データアクセス
• システムアクセス
• データ開示
• パスワード
• データ保持
• インターネット利用

プライバシーポリシー

従業員が個人情報をアクセスできるときは、組織のポリシーやプロシージャを理解し、承認していることを文書化することが不可欠です。
AUPに似ていますが、プライバシーデータ特有の文書で残します。

達成目標

本章での達成目標は以下となります。

【1-7-1】文書化されたガバナンス(ポリシー、スタンダード、ガイドライン、プロシージャ)の改装を説明できる。
【1-7-2】共通の方針と手順を含む、人事のセキュリティ目標をサポートするためのさまざまな手段を理解している。