「情報セキュリティポリシー」の版間の差分

編集の要約なし
# 一般的には、ウェブサイトの管理者がサイト内での個人情報の扱いについて定めた規範のこと。プライバシーポリシー、個人情報保護ポリシー。(後述2)
----
(1)'''セキュリティポリシー'''とは、[[企業]]などの団体における、秘密[[情報]]・[[個人情報]]等の管理や、[[コンピュータウイルス]]などによるリスク管理についの一環としまとめた、規範のことである。'''情報セキュリティポリシに関する基本方針とル'''などとも呼ばれである。
 
本来は建物や特定エリアへの入退出などの物理的セキュリティも含むが、
内容:主眼は[[情報漏洩]]の防止に置かれており、重要な柱は
一般には情報面、コンピュータ面でのセキュリティポリシーを指す場合が多い。
*団体内での情報を閲覧・編集する権限を誰に付与するか
体系としては、(1)セキュリティ基本方針(経営者の姿勢、宣言)(2)ガイドライン、(3)ルール、実施手順、の3階層からなる。
*団体内での情報を閲覧・編集をどのような方法で実行するか
対象を「企業」を例とし「情報」に限って言えば、情報の流出が企業の存亡にも関わりうるものであるとの認識と、それへ取り組みを経営者(外部に対してはその組織の)が宣言するものが(1)であり、その基本姿勢の下で、何に対してどの様な対策を行うかの具体的基準が(2)であり、(3)はその基準に基づいた個々のケースでのルールや施策となる。
の、2点である。また、一部の企業では、これに加えて
その全てをセキュリティポリシーと言う場合もあり、また(1)か(2)のドキュメントを「セキュリティポリシー」と呼ぶこともある。
*情報に関わるトラブルの際の手引書(マニュアル)
を盛り込んでいる。
 
その内容は、どの情報に誰がアクセス出来、誰にはアクセスさせないか。どの操作を誰に対して許可または許可しないか。ウイルスや外部からの侵入に対してはどのような防御体制を整えるか、そしてそれが正常に機能していることをどのように確認し、維持管理していくかなどが具体的内容である。それらの判断基準や、実施すべき対策を明確にすることで社員等組織員のセキュリティに対する意識を向上させることも目的にしている。
効果:策定することにより、以前まで不明瞭だった責任の所在を明らかにすることができ、また情報漏洩に対する社員(構成員)の意識改革を図ることが出来る。
 
外部に対しては「顧客情報」「[[個人情報]]」の取り扱いに対するポリシーを公表し、約束することで、不安を解消し、加えて組織内のセキュリティ対策にきちんと取り組んでセキュリティ上の事故を防ぎ、またその取り組みをアピールすることで、対外的なイメージや信頼性の向上をろうとするものである。
 
----