🏠 総合トップ 中小企業診断士1次試験 用語集 経営情報システム
セキュリティ

情報セキュリティポリシー

Information Security Policy

概要

組織の情報セキュリティに関する基本方針や対策基準、実施手順を定めた文書体系。

詳細解説

情報セキュリティポリシーは、組織が保有する情報資産を保護するための方針・規則を定めた文書である。基本方針(ポリシー)、対策基準(スタンダード)、実施手順(プロシージャ)の3階層で構成される。

基本方針は経営層が情報セキュリティに対する姿勢を宣言する文書である。対策基準は基本方針を実現するための具体的なルールを定め、実施手順は対策基準に基づく具体的な作業手順を示す。定期的な見直しと従業員への教育が不可欠である。

試験対策のポイント

  • 暗記必須:情報セキュリティポリシーは3階層構造=基本方針(最上位の宣言)、対策基準(守るべき基準)、実施手順(具体的手順)。
  • 頻出ポイント:基本方針は経営者が定め全社に周知する。階層が下がるほど具体的・実務的になる点を押さえる。
  • 関連づけ:ISMS(情報セキュリティマネジメントシステム)のPDCAサイクルの中で策定・運用される。

事例・具体例

パスワードの最低文字数や変更頻度の規定、USBメモリの使用制限、テレワーク時のセキュリティ対策などが情報セキュリティポリシーに含まれる。

関連用語