情報セキュリティポリシー 【information security policy】

概要

情報部門などの提案や助言などを得ながら経営層が策定し、全社に周知すべきものとされる。基本方針など一部は、その組織の情報管理についての考え方や取り組み方を表明する文書として外部や一般にも公開される。

基本方針には、ポリシーの適用範囲、対象となる情報資産、実施体制、各員・部門の役割や責務、実施・策定すべき施策や規約、遵守する法令や指針などが記述される。これに基づき、組織内に存在する人員や部門、情報などに合わせて具体的に何をどのような脅威から守るのか、誰が何をすべき・すべきでないか、誰に何を許可する・許可しないか、といった方針をセキュリティ対策基準として策定する。

基本方針のみ、あるいは対策基準までをポリシーの範囲とする場合が多く、これらに基づいて実施手順や運用規約、社内規定など個別具体的なルールが定められる。内部の人員にはこれら具体的な規約が手順書やマニュアルなどの形で周知・徹底される。

情報セキュリティポリシーは技術的な対策や専門家、専任スタッフだけでは適切な情報資産の管理に限界があることを踏まえ、全社の人や組織がどのように情報やシステムを安全に運用していくか観点で策定される。このため、作成しただけで具体的な行動に反映されなければ意味がなく、また、施行後も運用状況や外部環境の変化などに合わせて繰り返し見直しや改善を行うことが重要とされる。