情報セキュリティポリシー

情報セキュリティポリシーの最新ニュースをまとめて検索!

情報セキュリティポリシー(Information Security policy)とは、企業などの組織における情報資産の情報セキュリティ対策について総合的・体系的かつ具体的にとりまとめたもの。どのような情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方と、情報セキュリティを確保するための体制、組織および運用を含めた規定。省略して、単にセキュリティポリシーと呼ぶことも多い。情報セキュリティポリシーは、PDCAサイクルによって、評価・見直しをし、改善していく。

目次

[編集] 概要

次の3つのうち、1.と2.を併せて情報セキュリティポリシーという。

  1. 情報セキュリティ基本方針
    組織における、情報セキュリティ対策に対する根本的な考え方を表すものであり、組織が、どのような情報資産を、どのような脅威から、なぜ保護しなければならないのかを明らかにし、組織の情報セキュリティに対する取組み姿勢を示すもの。
  2. 情報セキュリティ対策基準
    基本方針で定められた情報セキュリティを確保するために遵守すべき行為や判断などの基準。つまり基本方針を実現するために何をしなければいけないかを示すもの。
  3. 情報セキュリティ実施手順など
    ポリシーには含まれないものの、対策基準に定められた内容を具体的な情報システムまたは業務において、どのような手順に従って実行していくのかを示すものなど。

[編集] 具体的内容

情報セキュリティポリシーの具体的内容は、次のようなものである。

  • どの情報を誰にアクセスさせ、誰にアクセスさせないか。
  • どの操作を誰に対して許可し、誰に許可しないか。
  • ウイルスや外部からの侵入に対して、どのような防御体制を整えるか。
  • それらが正常に機能していることをどのように確認し、維持管理していくか。

[編集] 継続的な改善

情報セキュリティポリシーは、策定して終わるのではなく、導入し、実施し、評価・見直しをし、PDCAサイクルによって改善していく必要がある。

  1. 策定
    基本方針、対策基準、実施手順を策定する。
  2. 導入
    配布、教育し、物理的・人的・技術的な措置を取る。
  3. 運用
    システムの監視、ポリシーの遵守状況の確認、侵害時の対応策を取る。
  4. 評価・見直し
    システムの監査、ポリシーの評価・見直しをし、改善する。

[編集] 制定の効果

情報セキュリティポリシーは、組織(企業)の情報セキュリティを確保することを目的とする。判断基準や、実施すべき対策などを明確にすることによって、組織構成員(社員)のセキュリティに対する意識を向上させる効果もある。

外部に対しては、次の効果がある。

  • 顧客情報・個人情報の取扱いに対するポリシーを公表し、約束することによって、不安を解消する。
  • 組織内のセキュリティ対策にきちんと取り組んで、セキュリティ上の事故を防ぐ。
  • 取組みをアピールすることによって、対外的なイメージや信頼性の向上を図る。

セキュリティポリシーは、「制定している」・「もっている」だけではなく、実行しなければ意味がない。

[編集] 関連項目

[編集] 外部リンク

"http://wkp.fresheye.com/wikipedia/%E6%83%85%E5%A0%B1%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC" より作成
フリー百科事典『ウィキペディア(Wikipedia)』 Text is available under GNU Free Documentation License.

最終更新 2009年7月2日 (木) 06:46 (日時は個人設定で未設定ならばUTC)。
【情報セキュリティポリシー】変更履歴

ご利用上の注意

もっと調べる!

情報セキュリティポリシー まとめて検索