情報セキュリティポリシー(Information Security policy)とは、企業などの組織における情報資産の情報セキュリティ対策について総合的・体系的かつ具体的にとりまとめたもの。どのような情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方と、情報セキュリティを確保するための体制、組織および運用を含めた規定。省略して、単にセキュリティポリシーと呼ぶことも多い。
次の3つのうち、1.と2.を併せて情報セキュリティポリシーという。
- 情報セキュリティ基本方針
- :組織における、情報セキュリティ対策に対する根本的な考え方を表すものであり、組織が、どのような情報資産を、どのような脅威から、なぜ保護しなければならないのかを明らかにし、組織の情報セキュリティに対する取組み姿勢を示すもの。
- 情報セキュリティ対策基準
- :基本方針で定められた情報セキュリティを確保するために遵守すべき行為や判断などの基準。つまり基本方針を実現するために何をしなければいけないかを示すもの。
- 情報セキュリティ実施手順など
- :ポリシーには含まれないものの、対策基準に定められた内容を具体的な情報システムまたは業務において、どのような手順に従って実行していくのかを示すものなど。
その具体的内容は、次のようなものである。
- どの情報を誰にアクセスさせ、誰にアクセスさせないか。
- どの操作を誰に対して許可し、誰に許可しないか。
- ウイルスや外部からの侵入に対して、どのような防御体制を整えるか。
- それらが正常に機能していることをどのように確認し、維持管理していくか。
それらの判断基準や、実施すべき対策を明確にすることによって、組織構成員(社員)のセキュリティに対する意識を向上させることも目的にしている。
外部に対しては、次の効果がある。
- 顧客情報・個人情報の取扱いに対するポリシーを公表し、約束することによって、不安を解消する。
- 組織内のセキュリティ対策にきちんと取り組んで、セキュリティ上の事故を防ぐ。
- 取組みをアピールすることによって、対外的なイメージや信頼性の向上を図る。
セキュリティポリシーは「制定している」・「持っている」だけではなんらその機能を生かすことができず、実行しなければ意味がない。
関連項目
せきゆりていほりしい
----------------------------------------------
出典:「フリー百科辞典ウィキペディア」(2009-01-01)
ご利用上の注意
主要関連用語
※ []内の数字は、Wikipedia内の他の記事からの被リンク数を示しています。
