STEP 1

STEP 1情報セキュリティ基本方針策定

IPAにて公開されている「情報セキュリティ基本方針」をベースに、サンプル内容の補足説明とヒアリングを行いながら、情報セキュリティポリシーとして、お客様と一緒に策定します。

情報セキュリティ基本方針の記載項目例

• 管理体制の整備
• 法令・ガイドライン等の厳守
• セキュリティ対策の実施
• 継続的改善　　　　　　　　　　　　など

補足
「情報セキュリティ基本方針」とは、情報セキュリティについてどのように考えるのかを明文化するものです。一般的には組織や企業の代表者がWebサイト等で外部に公開し宣言します。

STEP 2

STEP 2管理体制の構築

社内組織等をヒアリングしながら、責任分担と連絡体制と緊急時対応体制を整備し、お客様と一緒に「組織的対策」を整えます。

STEP 3

STEP 3情報資産台帳の作成

リスク分析シート（情報資産管理台帳）をベースに、管理体制により定めた情報セキュリティ部門責任者等で各部門の情報資産台帳を作成します。

1. 各部署で扱っている情報資産を洗い出します。
2. 情報資産ごとの機密性・完全性・可用性の評価を行います。
3. 機密性・完全性・可用性の評価値から重要度を算定します。

各部門の情報資産台帳を確認し、統合。

STEP 4

STEP 4情報資産に対する状況診断

リスク分析シート（脅威の状況、対策状況チェック）の設問に対して、一緒に回答を埋めて、情報資産に対する状況を診断し、策定対象とする情報セキュリティ規程を抽出します。

No.	名　称	概　要
1	組織的対策	情報セキュリティのための管理体制の構築や点検、情報共有などのルールを定めます。
2	人的対策	情報セキュリティのための管理体制の構築や点検、情報共有などのルールを定めます。
3	情報資産管理	情報資産の管理や持ち出し方法、バックアップ、破棄などのルールを定めます。
4	アクセス制御及び認証	情報資産に対するアクセス制御方針や認証のルールを定めます。
5	物理的対策	セキュリティを保つべきオフィス、部屋及び施設などの領域設定や領域内での注意事項などのルールを定めます。
6	IT機器利用	IT機器やソフトウェアの利用などのルールを定めます。
7	IT基盤運用管理	サーバーやネットワーク等のITインフラに関するルールを定めます。
8	システム開発及び保守	独自に開発及び保守を行う情報システムに関するルールを定めます。
9	委託管理	業務委託にあたっての選定や契約、評価のルールを定めます。委託先チェックリストのサンプルが付属します。
10	情報セキュリティインシデント対応ならびに事業継続管理	情報セキュリティに関する事故対応や事業継続管理などのルールを定めます。
11	テレワークにおける対策	テレワークのセキュリティ対策についてルールを定めます

STEP 5

STEP 5情報セキュリティ規程 サンプル 読み合せ

STEP4で策定対象として情報セキュリティ規程について、情報セキュリティ関連規程（サンプル）を一緒に読み合わせながら、管理体制、情報資産台帳や診断結果を加味しながら、お客様の運用実態に合せて、活用しやすい様に書き換えポイントを整理します。

STEP 6

STEP 6各 情報セキュリティ規程 策定

STEP5で整理した書き換えポイントに従って、各情報セキュリティを策定します。