情報セキュリティポリシー
情報セキュリティポリシー(じょうほう-, information security policy)とは、企業などの組織における情報資産の情報セキュリティ対策について、総合的・体系的かつ具体的にとりまとめたもの。どのような情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方(JIS Q 27002 ではセキュリティ基本方針と呼ぶ)と、情報セキュリティを確保するための体制、組織および運用を含めた規程。情報セキュリティポリシーは、PDCAサイクルによって、評価・見直しをし、改善していく。省略して、単にセキュリティポリシーと呼ぶことも多い。
次の3つのうち、1.と2.を併せて情報セキュリティポリシーという。
1.情報セキュリティ基本方針
組織における、情報セキュリティ対策に対する根本的な考え方を表すものであり、組織が、どのような情報資産を、どのような脅威から、なぜ保護しなければならないのかを明らかにし、組織の情報セキュリティに対する取組み姿勢を示すもの。
2.情報セキュリティ対策基準
基本方針で定められた情報セキュリティを確保するために遵守すべき行為や判断などの基準。つまり基本方針を実現するために何をしなければいけないかを示すもの。
3.情報セキュリティ実施手順など
ポリシーには含まれないものの、対策基準に定められた内容を具体的な情報システムまたは業務において、どのような手順に従って実行していくのかを示すものなど。
ア行
カ行
サ行
タ行
ナ行
ハ行
マ行
ヤ行
ラ行
ワ行