25IPA基本診断項目

情報セキュリティ対策をルール化し従業員に明示する

個別の対策をバラバラに実施するだけでなく、会社としてのセキュリティポリシーを文書化し、全従業員に明示することで、組織的な対策として機能します。

⚠️ なぜ必要なのか?

口頭での指示や個人の善意に頼るセキュリティ対策は、担当者の異動・退職で途切れます。ルールが文書化されていないと「知らなかった」という言い訳が通ってしまい、組織としての対策が機能しません。

何をすれば良いのか?

  1. 1情報セキュリティ基本方針(1〜2ページ)を作成する
  2. 2個別のルール(パスワード・データ持ち出し・メール利用等)を文書化する
  3. 3従業員が参照できる場所(社内ポータル・共有フォルダ等)に保管する
  4. 4入社時に必ず説明・配布する
  5. 5年1回以上、内容を見直して更新する
  6. 6更新時は全員に周知する

🏁 どうなったら完了?

  • 情報セキュリティ基本方針が文書化されている
  • 個別ルールが文書化・保管されている
  • 全従業員がルールを参照できる状態になっている
  • 入社時の説明・配布フローが定まっている
  • 年1回の見直しルールが決まっている

📋 運用で対応する場合のポイント

IPAが提供する「情報セキュリティ基本方針(サンプル)」と「情報セキュリティ関連規程(サンプル)」(いずれも無料)を自社に合わせてカスタマイズすることで、ゼロから作る手間を大幅に省けます。