情報技術(IT)セキュリティポリシーは、組織のIT資産やリソースにアクセスし使用するすべての個人のためのルールと手順を明確にします。 効果的なITセキュリティポリシーは、ルールや手順が従業員の情報や仕事へのアプローチから推進される、組織の文化のモデルです。 したがって、効果的なITセキュリティポリシーは、リスク許容度、情報の見方や価値観、その結果としての情報の可用性など、従業員の視点から培われた、各組織独自の文書となるのである。 このため、多くの企業では、定型的なITセキュリティポリシーは、組織の人々が実際にどのように情報を使用し、組織間や公衆と共有するかを考慮していないため、不適切であると考えられます。 これらの3つの原則は、CIAの三原則を構成しています。
- 機密性は、未許可のエンティティから資産を保護することを含む
- 完全性は、資産の変更が指定および許可された方法で処理されることを保証します
- 可用性とは、許可されたユーザーが前記資産への連続アクセスを持つシステムの状態
ITセキュリティポリシーは進化するビジネスとIT要件に適応するように絶えずアップデートする生きたドキュメントであり、それは、ITセキュリティポリシーが、ITのための、より効果的な、より効果的な方法であることを意味します。 国際標準化機構 (ISO) や米国国立標準技術研究所 (NIST) などの機関が、セキュリティ ポリシー形成のための標準やベスト プラクティスを発表しています。 米国国立研究評議会(NRC)が定めるように、企業ポリシーの仕様は、
- 1.セキュリティ・ポリシー、2.セキュリティ・ポリシー、3.セキュリティ・ポリシー、4.セキュリティ・ポリシーの3つを含むべきである。 目的
- 2. 範囲
- 3. 具体的な目標
- 4. コンプライアンスに対する責任およびコンプライアンス違反の場合に取るべき行動
また、すべての IT セキュリティポリシーでは、組織の業界に適用する規制への遵守に関するセクションも必須とされています。 一般的な例としては、世界的には PCI Data Security Standard や Basel Accords、米国では Dodd-Frank Wall Street Reform, Consumer Protection Act, Health Insurance Portability and Accountability Act, and Financial Industry Regulatory Authority が挙げられます。 これらの規制機関の多くは、自らITセキュリティポリシーを文書化することを求めています。
組織のセキュリティポリシーは、その決定と方向性に大きな役割を果たしますが、その戦略や使命を変えてはいけません。 したがって、組織とその人々が使命と目標を達成するのを妨げる一般的なポリシーとしてではなく、良好な生産性と革新性の継続を支援するために、組織の既存の文化的および構造的枠組みから導き出されたポリシーを書くことが重要である
。