(2)セキュリティ方針書に準ずるドキュメントの要素
セキュリティ対策の目的や原則などを明確にしたものを上位レベルのセキュリティ方針書(前項を参照)とするが、これをサポートするドキュメントは、対策を効果的にしていくために欠かせないものである。
ここでは、セキュリティ対策項目を分類し、必要と思われるドキュメントの構成要素を記述する。
1]組織
セキュリティ組織体系は、セキュリティ方針の中に定義されている必要がある。その中には、セキュリティ責任の割当てや施設/設備の認可プロセスも明記される。事故を想定した緊急時対応計画にも、組織や関連部署としての対応についても明記しておく。
また、協働者がある場合には、正式な契約書を元に契約を結び、その情報資産へのアクセスも明確に定義される必要がある。協働者との契約の際に、配慮するセキュリティについても明確にしておく。
・セキュリティ組織体系と責任範囲についての記述
・セキュリティ事故発生時の緊急時対応計画書
・協働者・業務委託者へのセキュリティ要求事項
・協働者・業務委託者との契約書
2]ネットワーク管理者
ネットワーク管理者の役割と責任を明確にしておく必要がある。通常ネットワーク管理者は、ネットワーク上でのあらゆる操作が可能なユーザであるため、その業務の範囲を明確にしておくことは重要である。
また、ネットワーク管理者が適切な処置を怠ることは、そのまま地方公共団体のネットワークが脅威にさらされることになるため、ネットワーク管理者が日常的に、定期的に、あるいはトラブル発生時に行うべき業務内容についても、明確にしておく必要がある。
・ネットワーク管理者用機密保持合意文書(誓約書)
・ネットワーク管理者行動指針
・ネットワーク運用管理手順
・ネットワークセキュリティ事故対応手順書
3]ユーザ
ユーザのセキュリティ上の役割と責任は明確にされている必要がある。
また、情報の機密性を守るため、機密保持合意書を作成し、職員を採用する際にも明確な基準を用意する必要がある。ユーザが普段取るべき対応や、セキュリティ事故に遭遇したとき等の緊急時に取るべき対応も準備する必要がある。