情報セキュリティマネジメント試験 科目A 重要キーワード解説
情報セキュリティポリシーとは、組織が情報セキュリティに関する方針やルールを明文化した文書体系です。「何を、なぜ、どう守るのか」を組織として定め、全員が共通の基準で行動できるようにします。
一般に、基本方針・対策基準・実施手順の3階層で構成されます。経営層がトップダウンで方針を示し、それに沿って具体的なルール・手順へと落とし込む構造です。ISMS運用の土台となります。
| 階層 | 内容 | 性格 |
|---|---|---|
| ① 基本方針(ポリシー) | 組織としての基本的な考え方・目的・宣言。経営層が承認・公表。 | Why(なぜ守るか) |
| ② 対策基準(スタンダード) | 守るべき具体的な規程・ルール(遵守事項)。 | What(何をするか) |
| ③ 実施手順(プロシージャ) | 実際の作業手順・マニュアル。 | How(どうするか) |
狭義には①②を「情報セキュリティポリシー」と呼び、③は手順書として分けることもあります。
ポリシーが整備されていても、実態と乖離していると、私物端末の業務利用や安易なパスワード使用が横行し、インシデントにつながります。逆に、現場の実態に即したポリシーと継続的な教育があれば、従業員の判断のよりどころとなり、事故を未然に防ぎます。