分野 ：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ管理

組織が情報セキュリティのために定める文書は、一般的に情報セキュリティ基本方針、情報セキュリティ対策基準、情報セキュリティ実施手順の3階層の文書で構成されます。この3つを合わせて情報セキュリティポリシーと言います。

情報セキュリティ基本方針

組織の経営者が「セキュリティの最高責任者として、情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を組織内外に宣言する文書

情報セキュリティ対策基準

基本方針の目標を達成するために必要な規則を記述した文書。企業の構成員が守るべきセキュリティ関連規程類に相当する

情報セキュリティ実施手順

対策基準を実践するために必要な手続きを記述した文書。作業手順書やマニュアルなどに相当する

情報セキュリティ基本方針には、情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方と、情報セキュリティを確保するための体制、組織および運用などの枠組みが包括的に規定されます。策定した情報セキュリティ基本方針には、有効性・妥当性を維持するために定期的な改善をすること、全ての従業員に対して周知させることが求められます。

• 情報セキュリティ基本方針は、組織のセキュリティ方針を経営者が組織内外に宣言するものなので機密文書としては取り扱いません。組織内に広く伝達するとともに、Webサイト上に公開するなどして必要に応じて社外を含む利害関係者が入手可能であることが求められます。
• 正しい。情報セキュリティ基本方針には、組織が情報セキュリティの要求事項を満たすことへの経営者の責任(コミットメント)を含めなければなりません。
• 情報セキュリティ基本方針は、事業環境・法改正・技術などの変化に適合するように、必要に応じて変更することが求められます。
• 情報セキュリティ基本方針には、具体的なセキュリティ対策は記述しません。対策と運用の詳細は、対策基準と実施手順に記述します。