情報セキュリティポリシとは

情報セキュリティポリシとは組織の情報資産を守るための方針や基準を明文化したもの。

※情報セキュリティポリシに厳密な定義はないため、あくまで情報処理試験の標準的な構成についてまとめる。

文書構成

情報セキュリティポリシを策定するとき、「情報セキュリティ基本方針」「情報セキュリティ対策基準」「情報セキュリティ実施手順」の3つを作成する。

「情報セキュリティポリシ」という言葉は、このうち、「情報セキュリティ基本方針」「情報セキュリティ対策基準」の2つを指す。

情報セキュリティ基本方針

情報セキュリティ対策に対する根本的な考え方を表すものであり、情報セキュリティに対する取組み姿勢を示すものである。

目的・対象範囲・維持管理体制・義務・罰則など。

業界標準、該当する法令、政府規制への準拠を宣言する場合がある。

情報セキュリティマネジメントシステム(ISMS)における情報セキュリティ基本方針に関する記述

①情報セキュリティのための方針群

情報セキュリティのための方針群は，これを定義し，管理層が承認し， 発行し，従業員及び関連する外部関係者に通知しなければならない。

②情報セキュリティのための方針群のレビュー

情報セキュリティのための方針群は，あらかじめ定めた間隔で，又は重大な変化が発生した場合に，それが引き続き適切，妥当かつ有効であることを確実にするためにレビューしなければならない。

情報セキュリティ対策基準

基本方針で定められた情報セキュリティを確保するため に必要な、遵守すべき行為や判断などの基準。

実際に守るべき規程を具体的に記述し、適用範囲や対象者を明確にする。

情報セキュリティ実施手順

情報セキュリティ対策基準を実施するため の詳細な手続・手順のこと。

それぞれの情報システムや部署固有の事情を考慮したうえで作成する。

策定・運用による効果

• セキュリティレベルを明確にすることによるセキュリティレベルの向上
• リスクアセスメントを行い、全社最適化するので、セキュリティ対策の費用対効果が向上する
• 取り組みをアピールすることで対外的な信用を得られる

その他留意事項

• 情報セキュリティポリシの品質を高めるため、各種の外部専門家の活用する
• 策定においては目的・範囲・行為・罰則の明確化をする
• PDCAサイクルによって改善していく