ポリシー(社内規程)にはどのような内容が含まれるべきか?

IT資産管理プログラムの策定には、ガイドラインとなるポリシー(規程)が必要だ。
ポリシー(規程)に対して全社的な合意がなされ、経営者層の理解と承認、支援が行われれば、IT資産管理者の仕事もよりどころができて、よりスムーズに前進できる。

ポリシーが、できるだけ全容をとらえ、複雑すぎず、明確に目的や、責任の所在、役割などをおさえることで、それらを手順におとすことができる。

以下に規程で網羅すべき内容の例をあげる:

 IT 資産管理の範囲と権限
このポリシーは、IT 資産管理者の権限を明らかにし、IT 資産業務部の重要性を明示する。

 エンドユーザーによるデスクトップ、ラップトップ、PDA を含むコンピューターデバイスの
使用についての ポリシー

このポリシーは、コンピューターデバイスを使う個人が、できること、また許可されていないことを示す。エンドユーザーの行動に最終的に責任を負う組織を保護することを目的とし、エンドユーザーのポリシー違反の際の処罰の概要を説明する。

 契約とコンプライアンス権限
契約とコンプライアンス権限に関するポリシーは、契約承認とコンプライアンス関連文書の承認に関する要件と階層的な権限を、明確かつ整合的に定義する。このポリシーは、対象範囲内の文書を種別毎に、簡潔に取り扱わなければならない。ベストプラクティスは、すべての文書化された権限執行と承認を記録する集中型プロセスを維持することである。

 コンピューターハードウェアの調達
このポリシーは、組織がハードウェア調達プロセスを統制できるよう、組織全体の調達プロセスを標準化する。

 ソフトウェアの調達とインストール
このポリシーは、組織がソフトウェアの調達とインストールのプロセスを統制できるよう、組織全体の調達プロセスを標準化する。

 ソフトウェア 倫理規定
ソフトウェア倫理規定は、組織的なソフトウェア購入のユーザーに求められることの要点を明確に説明する。

 違法コピー防止と著作権
違法コピー防止と著作権のポリシーは、著作権保護された物品についての法規制についてユーザーを教育し、違反に対する罰則を概説する。

 サポートされているハードウェア とソフトウェアの 基準、認められた代替物と例外管理
このポリシーは、組織内で基準が用いられること、認められた代替物などの例外の場合の基準の取り扱いを決定する。

 メンテナンス基準
このポリシーは、メンテナンスに含まれるものは何か、どのようにメンテナンスが行われるか、問題が生じた際には誰に連絡すべきか、という組織のメンテナンス基準を概説し、メンテナンス問題発生の対処方法をエンドユーザーに通知する。

 ベンダーコミュニケーションポリシー
ベンダーコミュニケーションポリシーは、ベンダーとのやりとりにおける役割と責務を定義する。具体的には、組織でベンダーとやりとりを許される者がだれで、何をベンダーと協議する権限が与えられているのか、説明する。

 インターネットや他の電子コミュニケーション設備の使用
このポリシーは、組織内でのエンドユーザーによるインターネット使用を決定する。また、ユーザーがアクセスできるサイト、チャットルーム、ショッピングカートや、認められるその他の個人的な使用を規定する。E メールも、このポリシーで規定される。

 外部監査の要求への対応
このポリシーは、外部監査について「何を」「いつ」「誰が」「どのように」対応するのかを概説する。
このポリシーは、監査対応の資格を有し訓練を受けた者(監査対応チーム)に対する対応の統制を制限するため、監査の際にきわめて重要である。

 違法ソフトウェアの排除
このポリシーは、基準を満たさないソフトウェア製品や合法的に購入したことが証明できないソフトウェア製品を排除するという組織の権限について、ユーザーを教育する。

 内部監査
内部監査ポリシーは、内部監査の目的、プロセス、担当者の権限について従業員を教育する。

 損失防止
このポリシーは、組織内のあらゆる損失に関するプロセスを概説する。このポリシーは、また、ハードウェアとソフトウェアが「いかにして」「どこで」「いつ」「誰によって」使用され、組織外に持ち出されるかを、規定する。

 資産廃棄
このポリシーは、「どのように」「いつ」「誰によって」資産が廃棄されるのかを概説する。このポリ
シーは、さらに、廃棄プロセスの際の情報セキュリティを規定する。また、文書要件と組織全体での文書の流れについても概説する。

 在宅勤務ポリシー
このポリシーは、組織のソフトウェアIT 資産とハードウェア IT 資産を使っての在宅勤務を従業員に認める、あるいは要求する、「在宅勤務規定」をカバーする。このポリシーは、ロードできるソフトウェアと認められるハードウェアの変更を明確に規定し、そのような変更を要求、承認、報告する権限を明確に設定すべきである。

 データ管理、バックアップと リカバリー
このポリシーは、エンドユーザーによるデータ管理、バックアップとリカバリーの要件を概説する。このポリシーは、「どのように」「どのくらいの頻度で」「どこに」データをバックアップするのかを規
定し、データのリカバリーが必要な際の措置についてエンドユーザーに説明すべきである。

 リムーバブルストレージデバイスの使用に関するポリシー
このポリシーは、組織内外のリムーバブルストレージデバイスの利用を規定する。このポリシーは、 エンドユーザー向けの情報セキュリティと損失防止情報を含むべきである。

 ポリシーの通知と受諾
これは、エンドユーザーへの新しいポリシーの通知、エンドユーザーによる新しいポリシーの受諾、既存ポリシーのレビューを概説する。

 ベンダー管理 – 交渉ポリシー
このポリシーは、「誰が」「どこで」「いつ」「何を」「どのように」交渉プロセスを執行するのかな
ど、組織の交渉基準を概説する。

 試用ソフトウェア、プロモーションソフトウェアおよび寄贈ソフトウェアの使用
このポリシーは、「無料」ソフトウェアの組織内への導入方法と「無料」ソフトウェアの排除基準を規定する。また、エンドユーザーがアクセスして組織の機器にロードできる修正ソフトウェアについても、規定する。

 貸与機器ポリシー
このポリシーは、「いつ」「どこで」「どのように」「いかなる状況において」貸与機器の使用が認め
られるのか、規定する。

 文書管理保存ポリシー
このポリシーは、保存基準、文書の保存方法と保存場所、全てのIT 資産文書の取り扱いのフロー図など、IT 資産文書の保存を規定し、文書の検索を概説する。

 ワイヤレスデバイス ポリシー
このポリシーは、組織の内外で「誰が」「いつ」「どこで」ワイヤレスデバイスを使用すべきかについて、またそのようなデバイスのセキュリティを概説する。

 情報のプライバシー
このポリシーは、組織の機器のプライバシー保護を概説する。組織は、このポリシーを活用して、所有機器への完全なアクセスを担保し、プライバシーを設定しない。このポリシーは、インターネット使用のプライバシー、遠隔からのプライバシー、プライバシー監査権も規定する場合がある。

タグ: ,

コメントは受け付けていません。