中小企業向けセキュリティ対策（３）対応方針の定め方ーサンプル付きー

このページでは、前回の情報セキュリティ対策の取り組み事例に引き続き、情報セキュリティ対応方針の定め方についてテンプレート付きで解説いたします。

このシリーズは、ＩＰＡの「中小企業の情報セキュリティ対策ガイドライン」に基づき、中小企業が実施すべきセキュリティ対策について、順番に解説しています。

最初のページ

（目次）

テンプレート

とらくん

よかったら使ってね！

情報セキュリティ対応方針とは、情報セキュリティ対策を組織的に実施する意思を従業員や関係者に宣言するための基本方針書です。

情報セキュリティ対策で整備が必要な文書は以下のようなものがあります。

セキュリティ対応方針は、すべての文書の上位書類となり、このセキュリティ対応方針がすべての対策のベースとなります。

具体的な対策レベルや対応手順は別の文書で記載しますので、セキュリティ対応方針は、会社としてセキュリティ対策をどう扱っていくのか大きな目線で書いていきます。

毘沙門天さん

セキュリティ対応方針は、あくまで会社全体の大きな視点で書こう！具体的な対策は対策基準や実施手順で作っていくよ！

対応方針の例を以下に示します。もちろん、その他にも会社として大事にしたいことがあれば、追加して頂いて大丈夫です。

経営者自らが責任を持って推進していく意思を示しましょう。

セキュリティを推進する組織・体制を設置すること、及び、正式な社内規則を作って取り組んでいくことを示しましょう。

組織は専任部署のほうが望ましいです。兼務だとセキュリティが後回しになるケースが多々あります。

従業員全員がセキュリティに対する意識をしっかり持ち、確認に実行していくことを示しましょう。

セキュリティに関する法令や契約条件に謡われている条項を遵守していくことを示しましょう。

セキュリティに関する事故や、なにかしらの違反行為が発覚した場合は、真摯に対応し、再発防止策も責任を持って実施していくことを示しましょう。

福禄寿さん

会社として大切にしたいことを意識しつつ、今後も永続的に守っていかなければならないことをイメージしながら書くとよいな！

情報セキュリティ対応方針の定め方は以上です。

次は、セキュリティ対策に関する予算・人員確保に関して、説明していきます。