情報セキュリティポリシー構築の手順

■情報セキュリティポリシーの構築手順
情報セキュリティポリシーを構築するときは下記の手順を元に構築をしていきます。

構築の具体的手順（例）

1.使用するガイドラインの決定
2.情報セキュリティポリシー対象範囲の決定
　・対象組織
　・対象の情報資産
など

情報セキュリティポリシー策定の対象組織・策定のねらいを明確にし、 ねらいに応じたガイドラインの決定を行います。 また、どのような情報を守るのか（電子データ、紙など）もこのフェーズで明確にします。

1.守るべき情報資産の調査・分析・分類の実施
　・「調査表」による調査の実施
　・「ワークシート」による分析・分類の実施
　 　
すべての情報資産の中から守るべき情報資産を特定し、調査・分析・特定を行います。
守るべき情報資産が現状どのように管理されているかを把握します。

1.人的リスク分析の実施
　・「意識アンケート」による調査
　・「調査表」による調査の実施
　・現場観察による調査
2.技術的リスク分析の実施
　・既存の技術資料のレビューによる調査
　・セキュリティ監査
　・「調査表」による調査の実施
など

予想されるリスクの特定、人的、技術的、物理的リスク分析を行います。リスク分析は、セキュリティ監査、サイトツアーチェック、意識アンケートなどを効果的に行います。

1.管理方針の決定
　・（除去・軽減・転化・許容）
2.管理分類の決定
　・重点管理項目の決定
　・管理策策定の検討における優先順位・役割分担および責任権限の決定
3.管理手段の決定
　・既存の環境的・物理的側面の見直しまたは再構築による管理策の策定

1.ルール・制度・組織・会議体の策定
　・（除去、軽減、転化、許容）
2.管理分類の決定
　・重点管理項目の決定
　・管理策策定の検討における優先順位・役割分担および責任権限の決定
3.教育・訓練の実施　
　・運用・手順教育の実施
　・自覚教育のテキストの作成
　・内部セキュリティ監査有資格者の育成
　 　
情報セキュリティポリシーの文書策定、運用・手順教育の実施を行います。