情報セキュリティポリシー
ジョウホウセキュリティポリシー
情報セキュリティポリシーとは
情報セキュリティポリシーとは企業や組織において、情報セキュリティを徹底させるための方針や指針などを定めた文書のことです。情報資産の保護を目的とし、情報セキュリティに対する考え方や判断基準、対策方法といったことを具体的に記載します。さらには企業・組織に関わる全員がこのポリシーに則り、統一された行動を取ることが求められます。
情報セキュリティポリシーの特徴
情報セキュリティポリシーに関する文書は一般的に「基本方針」、「対策基準」、「実施手順」の3階層で構成されています。
「基本方針」は情報セキュリティに対する取り組みや姿勢を示すものです。なぜ情報セキュリティ対策に取り組むのか、どのように行うのか、責任者は誰か、といった考え方や理念を簡潔にまとめ、セキュリティとの向き合い方を社内外にアピールします。
「対策基準」は先に定めた「基本方針」を実現するために、どのようにすべきかといった基準やルールを示すものです。
「実施手順」は「対策基準」で記された内容を、具体的にどのような手順や手続きを踏んで実行するかを示すもの、つまりマニュアルになります。「実施手順」が第三者の手に渡れば手順の隙をついた攻撃を仕掛けることが可能になりセキュリティリスクが高まるため、公開はせず厳重な管理が必要です。
情報セキュリティポリシーの関連語
- プライバシーポリシー
プライバシーポリシーとは企業や組織が収集した個人情報の取扱いについて明記した文書のことです。情報セキュリティポリシーは企業や組織において、情報セキュリティ対策の方針や行動指針などの全従業員が守るべき規範を文書に定めたものでした。一方、プライバシーポリシーは企業や組織が収集した個人情報を、どのような利用をしていくかを文書にして顧客向けに説明をしたものです。
