組織が手軽に情報セキュリティを推進するための様々な知識・ノウハウを集めたサイトです。

情報セキュリティポリシー

組織には重要な情報資産がありますが、様々な脆弱性を内在しています。そして、組織の内外からの様々な脅威が情報資産を脅かしています。これらの脅威に対して情報セキュリティ対策を実施する必要があります。

組織における個々の情報資産に対する情報セキュリティ対策や、組織として情報セキュリティ対策をどのように考えるか、これを実現するために組織としてどのように対策を実施していくか、などについて文書化したものを、情報セキュリティポリシと呼びます。

【情報セキュリティポリシの構成】

情報セキュリティポリシは、一般的に下図のような階層構成になり、最上位の情報セキュリティ基本方針とその下の対策基準を合わせたものがこれに当たります。

public-isms01

情報セキュリティ基本方針

情報セキュリティに関する、組織としての基本的な考え方、方針を定めたものです。組織内外に対する、情報セキュリティに対する行動指針として用いる場合もあります。
どうして我が組織では情報セキュリティを推進するのか、というところから「Why」の部分と言えます。

情報セキュリティ対策基準

情報セキュリティ基本方針を遂行するために具体化した基準です。例えば、情報の取り扱い基準(規程)や社内ネットワークの利用基準(規程)など具体的な基準(規程)があります。「スタンダード」とも呼ばれます。
我が組織では情報セキュリティで何をしなくてはならないか、というところから「What]の部分と言えます。

情報セキュリティ対策実施手順、規程等

情報セキュリティ対策基準を遂行するための詳細な手順や規程です。情報セキュリティ対策基準では記述しきれない個別の規程や具体的な手順書などがこれに当たります。
「プロシジャー」とも呼ばれます。
具体的にどのように情報セキュリティを実施するか、というところから「How」の部分と言えます。

PAGETOP