情報セキュリティマネジメント試験 用語辞典

情報セキュリティポリシじょうほうせきゅりてぃぽりし
組織の経営者(トップマネジメント)が最終的な責任者となり「組織が情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業・組織がとるべき行動を社内外に宣言する文書。情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方と、情報セキュリティを確保するための体制、組織および運用などが包括的に規定される。
策定した情報セキュリティポリシには、有効性・妥当性を維持するために定期的な改善をすること、および、全ての従業員に対して周知させることが求められる。
分野:
情報セキュリティ管理 » 情報セキュリティ諸規定
重要度:

(Wikipedia 情報セキュリティポリシーより)

情報セキュリティポリシー(じょうほう-, information security policy)とは、企業などの組織における情報資産の情報セキュリティ対策について、総合的・体系的かつ具体的にとりまとめたもの。どのような情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方(JIS Q 27002 ではセキュリティ基本方針と呼ぶ)と、情報セキュリティを確保するための体制、組織および運用を含めた規程。情報セキュリティポリシーは、PDCAサイクルによって、評価・見直しをし、改善していく。省略して、単にセキュリティポリシーと呼ぶことも多い。

概要

次の3つのうち、1.と2.を併せて情報セキュリティポリシーという。
  1. 情報セキュリティ基本方針(ポリシー)
  2. :組織における、情報セキュリティ対策に対する根本的な考え方を表すものであり、組織が、どのような情報資産を、どのような脅威から、なぜ保護しなければならないのかを明らかにし、組織の情報セキュリティに対する取組み姿勢を示すもの。
  3. 情報セキュリティ対策基準(スタンダード)
  4. :基本方針で定められた情報セキュリティを確保するために遵守すべき行為や判断などの基準。つまり基本方針を実現するために何をしなければいけないかを示すもの。
  5. 情報セキュリティ実施手順など(プロシージャ)
  6. :ポリシーには含まれないものの、対策基準に定められた内容を具体的な情報システムまたは業務において、どのような手順に従って実行していくのかを示すものなど。

具体的内容

情報セキュリティポリシーの具体的内容は、次のようなものである。
  • どの情報を誰にアクセスさせ、誰にアクセスさせないか。
  • どの操作を誰に対して許可し、誰に許可しないか。
  • ウイルスや外部からの侵入に対して、どのような防御体制を整えるか。
  • それらが正常に機能していることをどのように確認し、維持管理していくか。

継続的な改善

情報セキュリティポリシーは、策定して終わるのではない。その内容を組織の情報セキュリティマネジメントシステム (ISMS) に導入し、実施し、評価・見直しをし、PDCAサイクルによって改善していく必要がある。
  1. 計画・目標の策定 (Plan)
  2. : ポリシー(基本方針、対策基準、実施手順など)を策定する。
  3. 導入・運用 (Do)
  4. : ポリシーを配布し、教育し、物理的・人的・技術的な措置を取る。
  5. 監視・見直し (Check)
  6. : システムの監視をし、ポリシーの遵守状況の確認をする。
  7. 改善・処置 (Act)
  8. : ポリシーを含むISMS全体を改善する。

制定の効果

情報セキュリティポリシーは、組織(企業)の情報セキュリティを確保することを目的とする。判断基準や、実施すべき対策などを明確にすることによって、組織構成員(社員)のセキュリティに対する意識を向上させる効果もある。

外部に対しては、次の効果がある。

  • 顧客情報・個人情報の取扱いに対するポリシーを公表し、約束することによって、不安を解消する。
  • 組織内のセキュリティ対策にきちんと取り組んで、セキュリティ上の事故を防ぐ。
  • 取組みをアピールすることによって、対外的なイメージや信頼性の向上を図る。

セキュリティポリシーは、「制定している」・「もっている」だけではなく、実行しなければ意味がない。

出題例

情報セキュリティポリシに関する考え方のうち,適切なものはどれか。
  • いかなる情報資産に対しても,実施する対策の費用は同一であることが望ましい。
  • 情報セキュリティポリシの構成要素の最上位にある情報セキュリティ基本方針は,経営者を始めとした幹部だけに開示すべきである。
  • 情報セキュリティポリシの適用対象としては,社員だけでなく,パートなども含めた全従業員とすべきである。
  • 情報セキュリティポリシを初めて作成する場合は,同業他社のポリシをサンプルとして,できるだけそのまま利用することが望ましい。

正解

「情報セキュリティ諸規定」に属する用語
「情報セキュリティ管理」の他の分野
「セキュリティ」の他のカテゴリ

クリエイティブ・コモンズ・ライセンス

このページのWikipediaよりの記事は、ウィキペディアの「情報セキュリティポリシー」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。

© 2015-2019 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop