自組織の「情報セキュリティ基本方針」を効率よく作りたいなら

～IPAが公開する「ひな形」を活用しましょう～

投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2023.12.21

（更新：2024.10.31）

年や年度が改まろうとする時期や、季節の節目を迎える頃、あるいは環境の変化などから、中小の事業者様の中にも、

「自組織の情報セキュリティ対策の拠り所となる『基本方針』『ポリシー』を作りたい」

という場合もあると思います。

ですが、まっさらな状態から「情報セキュリティ基本方針」や「情報セキュリティポリシー」を作ろうとしても、

何を書くべきかわからない、

思い通りにまとめられない、　その結果、

時間だけが過ぎてしまう、

等の状況に陥る場合もあるかと思います。

そこで、「情報セキュリティ基本方針」や「情報セキュリティポリシー」を簡潔かつ容易に作成する方法を一つ、ご紹介します。

それは、IPA（独立行政法人情報処理推進機構）が一般公開する「ひな形」に基づいて、自組織の情報セキュリティ基本方針を作成する方法です。

〇「情報セキュリティ基本方針」のひな形ご紹介

この「ひな形」は、IPAのサイトからダウンロードできる「中小企業の情報セキュリティ対策ガイドライン」第3.1版の付録2「情報セキュリティ基本方針（サンプル）」として公開されています。

全1ページという簡潔なWordファイルです。

以下、ひな形に記載される序文と、続く5項目などをご紹介します。

－－－－－－－－－－

株式会社○○○○（以下、当社）は、お客様からお預かりした/当社の/情報資産を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応えるべく、以下の方針に基づき全社で情報セキュリティに取り組みます。

1.経営者の責任

当社は、経営者主導で組織的かつ継続的に情報セキュリティの改善・向上に努めます。

2.社内体制の整備

当社は、情報セキュリティの維持及び改善のために組織を設置し、情報セキュリティ対策を社内の正式な規則として定めます。

3.従業員の取組み

当社の従業員は、情報セキュリティのために必要とされる知識、技術を習得し、情報セキュリティへの取り組みを確かなものにします。

4.法令及び契約上の要求事項の遵守

当社は、情報セキュリティに関わる法令、規制、規範、契約上の義務を遵守するとともに、お客様の期待に応えます。

5.違反及び事故への対応

当社は、情報セキュリティに関わる法令違反、契約違反及び事故が発生した場合には適切に対処し、再発防止に努めます。

制定日:20〇○年○月○日

株式会社○○○○

代表取締役社長　○○○○

－－－－－－－－－－

（上記出典：「中小企業の情報セキュリティ対策ガイドライン第3.1版」付録2「情報セキュリティ基本方針（サンプル）」）

上記ひな形の文章を、記載された指示に従い加筆・修正することで、簡潔かつ理解しやすく、ポイントを押さえた情報セキュリティ基本方針が出来上がります。

〇基本方針以外にもひな形・サンプル類が用意されています

「中小企業の情報セキュリティ対策ガイドライン」第3.1版の付録にはほかにも、

・「情報セキュリティ関連規程」サンプル

・「情報セキュリティハンドブック」ひな形

・「リスク分析シート」

が用意されています。

いずれも一から作成すると相当な時間を要しますが、ひな形やサンプルがあれば作業が効率的に進められます。ご利用をお勧めします。

〇Primary-fの「基本方針」もこのひな形がベースです

私共Primary-fのサイトに掲示している「情報セキュリティ基本方針」も、このひな形をもとに作成しました。

方針として述べられた5項目は、いずれも当然遵守・実行されるべきことと考えられますので、そのまま活かしました。

ただし、取り扱う情報資産について、お客様からお預かりするもの、私達固有のもの、いずれも重要ですので、ひな形では序文の選択式となっている記述の部分を、両方とも包含する形に直しました。

また、「主語」を変更しています。

Primary-fは現在、法人ではなく個人事業主（の屋号）ですので、「当社」といった文言を「私達」に置き換えました。

あとは文末の制定日や代表者に関する表記を更新して制定版としました。

＊検討開始から完成・HP掲載まで2時間程度でした

このひな形から「基本方針」を作成し、Primary-fのサイトに掲載するのに要した時間は2時間程度だったと思います。

このように短時間でも、十分行き届いた内容の「情報セキュリティ基本方針」を作成することができます。

〇IPAの「基本方針」ひな形の活用もご検討を

皆様も、「情報セキュリティ基本方針」をなるべく効率的に作成したいとお考えなら、

IPAが公開する「中小企業の情報セキュリティ対策ガイドライン」第3.1版の付録2「情報セキュリティ基本方針（サンプル）」のご活用をご検討ください。

私共もおすすめいたします。

（Primary-f／向実庵　代表）

＜ご案内＞

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びＩＰＡが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。

詳しくはこちらよりお入りください。