📖 テーマ設定
🔊 音声設定
1.2
1.0
1.0
▶️ 再生コントロール

ISMS規定の全体像と参照方法マスター

概要

  • 日程: Day 01 / セッション 02
  • 時間: [9:10-9:40]
  • 形式: 座学 & 実習
  • ゴール: 組織のISMS規定体系を理解し、規定・手順書の構成と参照方法を説明できる
  • 学習形式: 対話型解説、ハンズオン実習(AIサポートあり)

導入(5分)

前セッションでは、情報セキュリティが「自分事」であること、そして会社にとっての重要性について学びました。では、具体的に「ISMS規定」とはどのようなもので、どこに、どのような形で情報セキュリティのルールが書かれているのでしょうか?このセッションでは、ISMS規定全体の「地図」を手に入れ、必要な情報にたどり着くための「コンパス」の使い方をマスターします。このセッションが終わる頃には、組織のISMS規定の構成を理解し、疑問が生じた際に自力で解決できるようになっています。

本編(15分)

1. ISMS規定体系の全体像

私たちが遵守すべき情報セキュリティのルールは、一枚岩ではありません。いくつかの文書が階層的に組み合わさって、会社の情報セキュリティを統制しています。これを「ISMS規定体系」と呼びます。

graph TD A[情報セキュリティ基本方針] --> B(情報セキュリティ規程集) B --> C(情報セキュリティ手順書) C --> D(情報セキュリティガイドライン/マニュアル)

図:ISMS規定体系の階層構造

  • 情報セキュリティ基本方針:これは会社の情報セキュリティに関する「最高位の宣言」です。会社が情報セキュリティに対してどのような姿勢で臨むのか、その基本的な考え方や目標が表明されています。いわば、航海の「目的地」を定める羅針盤のようなものです。
  • 情報セキュリティ規程集:基本方針に基づき、会社が守るべき具体的なルールを定めたものです。「アクセス管理規程」「情報資産管理規程」など、セキュリティの側面ごとに複数の規程が存在します。これは「目的地にたどり着くための大きなルート」を示す地図のようなものです。
  • 情報セキュリティ手順書:規程に定められたルールを、実際にどのように実行するのかを詳細に記述したものです。「ID・パスワード設定手順」「情報持ち出し承認手順」など、具体的な作業ステップが書かれています。これは「ルート上の各交差点をどう進むか」という具体的な指示書のようなものです。
  • 情報セキュリティガイドライン/マニュアル:手順書をさらに補足し、より実践的な情報やQ&Aなどが含まれることがあります。これは、旅行ガイドブックの「豆知識」や「現地の交通ルール」といった情報に当たります。

ここがポイント

この階層構造を理解することで、特定のルールが「なぜ存在するのか」という背景(基本方針)から、「どのように実行すべきか」という具体的な方法(手順書)まで、体系的に把握できるようになります。よくある間違いとして、手順書だけを見て「なぜこんなことをするのか」と疑問に思ってしまうことがありますが、上位の規程や基本方針に立ち返ることで、その意図を理解できます。

コラム

ISMS規定の体系は、しばしば法律体系に例えられます。憲法が「情報セキュリティ基本方針」、法律が「規程」、政令・省令が「手順書」、そして判例や通達が「ガイドライン」といった具合です。このように考えると、それぞれの文書が果たす役割が分かりやすくなりますね。法律の専門家でなくても、この階層を理解していれば、必要な情報を見つけやすくなるでしょう。

💬 AIに聞いてみよう

ここまでの内容で疑問があれば、AIに質問してみましょう。たとえば:

  • 「規程と手順書の違いがまだ曖昧なんだけど、もっと分かりやすく教えて」
  • 「情報セキュリティ基本方針って、具体的にどんな内容が書かれていることが多い?」
  • 「この階層構造は、何かメリットがあるの?」

実習・演習(10分)

課題

  1. 会社の情報セキュリティに関するポータルサイト、または情報共有基盤にアクセスし、ISMSに関する文書を探してください。
  2. 「情報セキュリティ基本方針」を見つけ、その中で会社が最も重要視していると感じる項目を一つ挙げてください。
  3. 「アクセス管理規程」(またはそれに類する文書)を見つけ、パスワードに関するルール(例: 文字数、複雑性)がどこに記載されているか特定してください。

成果物

  • 課題2で見つけた重要項目と、その根拠
  • 課題3で特定したパスワードルールの記載箇所(文書名、セクション名、またはURLなど)

ヒント

  • ポータルサイトの検索機能や「セキュリティ」「規程」「ISMS」といったキーワードで探してみましょう。
  • 文書名が直接的でなくても、内容から判断できるものもあります。
  • うまくいかない場合はAIに「〇〇(検索した場所)でISMS規定が見つからない。どうしたらいい?」と伝えると、検索のヒントや具体的なパスを教えてもらえるかもしれません。

まとめ(0分)

本セッションでは、ISMS規定がどのような文書で構成されているのか、その全体像と階層構造を学びました。また、実際に社内の情報共有基盤から関連文書を探し、その内容を参照する実習を行いました。これで皆さんは、情報セキュリティの「地図」と「コンパス」を手に入れました。

🔄 振り返りチェック

以下の問いに答えられるか確認してみましょう:

  • 会社のISMS規定体系は、どのような文書で構成されていますか?
  • 情報セキュリティ規程集と情報セキュリティ手順書の違いを説明できますか?
  • 実際に会社のポータルサイトからISMS関連文書を探すことができますか?

答えに自信がない場合は、該当部分を読み返すか、AIに質問してみてください。

補足資料

学習ガイド

想定される質問と回答例

質問 ヒント
規程と手順書の違いがまだ曖昧なんだけど、もっと分かりやすく教えて 規程は「何をすべきか」という方針やルール、手順書は「それをどうやって実行するか」という具体的な方法を示します。例えば「健康規程:毎日健康を維持する」に対し「健康維持手順書:毎朝ジョギングし、野菜を食べる」のような関係です。
情報セキュリティ基本方針って、具体的にどんな内容が書かれていることが多い? 会社が情報資産をどのように保護し、どのような目的でISMSを運用するか、組織体制、適用範囲、法的・規制要求事項への順守などが記載されます。

つまずきやすいポイント

つまずきポイント ヒント
ISMS関連文書が見つけられない 部署内の先輩や上長に「情報セキュリティの規定類はどこにありますか?」と直接尋ねてみるのも良いでしょう。それが「正しい情報収集」の一環です。
読み上げを開始します...