「情報セキュリティポリシー」の版間の差分
削除された内容 追加された内容
→組織でのセキュリティポリシー: +対策基準 |
上部の大変更{まずかったらリバートしてください} |
||
1行目:
# 情報資産の情報セキュリティ対策について総合的・体系的かつ具体的にとりまとめたもの。(後述1)
# 一般的には、ウェブサイトの管理者がサイト内での個人情報の扱いについて定めた規範。プライバシーポリシー、個人情報保護ポリシー。(後述2)
----
==組織
'''情報セキュリティポリシー'''
<!--
リスク管理の一環として定めた'''セキュリティに関する基本方針とルール'''である。
本来は建物や特定区域への入退出などの物理的セキュリティも含むが、一般にはコンピュータとネットワークにおける情報セキュリティポリシーを指す場合が多い。
-->
次の3つのうち、1.と2.を併せて'''情報セキュリティポリシー'''という。
# 情報セキュリティ基本方針
#:組織における、情報セキュリティ対策に対する根本的な考え方を表すものであり、組織が、どのような情報資産を、どのような脅威から、なぜ保護しなければならないのかを明らかにし、組織の情報セキュリティに対する取組み姿勢を示すもの。
# 情報セキュリティ対策基準
#:基本方針で定められた情報セキュリティを確保するために遵守すべき行為や判断などの基準。つまり基本方針を実現するために何をしなければいけないかを示すもの。
#:ポリシーには含まれないものの、対策基準に定められた内容を具体的な情報システムまたは業務において、どのような手順に従って実行していくのかを示すものなど。
<!--
'''情報セキュリティポリシー'''に限ると、各項目はこうなる。
# 情報の流出が組織の存亡にも関わりうるものであるとの認識と、それへの取組みを経営者(外部に対してはその組織)がする宣言
# その基本姿勢の下で、何に対してどのような対策を行うかの具体的基準
19 ⟶ 26行目:
そのすべてをセキュリティポリシーという場合もあり、また 1. か 2. の文書を「セキュリティポリシー」と呼ぶこともある。
-->
その具体的内容は、次のようなものである。
* どの情報を誰にアクセスさせ、誰にアクセスさせないか。
|