情報セキュリティ基本方針

適用範囲に含まれる情報資産の種類、セキュリティ対策の実施体制、各員・部門の役割や責務、実施すべき施策や策定すべき規約、遵守する法令や指針などが記述される。一般的には5～10項目程度のシンプルな箇条書きのリストとして記述され、Webサイトなどを通じて公表することが多い。

基本方針に基づき、個別の部門や資産に合わせて業務やシステム運用の具体的な規則を定めたものを「情報セキュリティ対策基準」という。一般に、基本方針と対策基準を合わせたものを「情報セキュリティポリシー」と呼ぶことが多いが、基本方針のみを指してポリシーと呼ぶこともある。

さらに、対策基準に基づいて各部門やスタッフごとに必要な手続きや手順などを個別のマニュアルや手順書、計画書、規約、規定などに落とし込んだものを作成し、業務の現場ではこれに基づいて対策を実施する。こうしたマニュアル類を総称して「情報セキュリティ実施手順」と呼ぶことがある。

関連用語

IPA

【Information-technology Promotion Agency】

ISO

【International Organization for Standardization】

Webページ

【web page】

インターネット

【Internet】

ソフトウェア

【software】

改竄

【falsification】

情報セキュリティポリシー

【information security policy】

可用性

【availability】

アクセス

【access】

情報システム

【information system】

ISMS

【Information Security Management System】

端末

【terminal】

ネットワーク

【network】

システム

【system】

ポリシー

【policy】

プログラム

【program】

セキュリティ

【security】

信頼性

【reliability】

イメージ

【image】

ソーシャルメディア

【social media】