「情報セキュリティポリシー」の版間の差分

PDCAサイクルについての記述を追加.目的を追加.
(三つの節に分割)
(PDCAサイクルについての記述を追加.目的を追加.)
'''情報セキュリティポリシー'''(Information Security policy)とは、企業などの組織における情報資産の[[情報セキュリティ]]対策について総合的・体系的かつ具体的にとりまとめたもの。どのような情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方と、情報セキュリティを確保するための体制、組織および運用を含めた規定。省略して、単に'''セキュリティポリシー'''と呼ぶことも多い。情報セキュリティポリシーは、[[PDCAサイクル]]によって、評価・見直しをし、改善していく
 
== 概要 ==
次の3つのうち、1.と2.を併せて'''情報セキュリティポリシー'''という。
# 情報セキュリティ実施手順など
#:ポリシーには含まれないものの、対策基準に定められた内容を具体的な情報システムまたは業務において、どのような手順に従って実行していくのかを示すものなど。
 
== 具体的内容 ==
情報セキュリティポリシーの具体的内容は、次のようなものである。
* ウイルスや外部からの侵入に対して、どのような防御体制を整えるか。
* それらが正常に機能していることをどのように確認し、維持管理していくか。
 
== 継続的な改善 ==
情報セキュリティポリシーは、策定して終わるのではなく、導入し、実施し、評価・見直しをし、PDCAサイクルによって改善していく必要がある。
# 策定
#: 基本方針、対策基準、実施手順を策定する。
# 導入
#: 配布、教育し、物理的・人的・技術的な措置を取る。
# 運用
#: システムの監視、ポリシーの遵守状況の確認、侵害時の対応策を取る。
# 評価・見直し
#: システムの監査、ポリシーの評価・見直しをし、改善する。
 
== 制定の効果 ==
情報セキュリティポリシーは、組織(企業)の情報セキュリティを確保することを目的とする。判断基準や、実施すべき対策などを明確にすることによって、組織構成員(社員)のセキュリティに対する意識を向上させること効果目的にしている。
 
外部に対しては、次の効果がある。
 
== 外部リンク ==
* [http://www.kantei.go.jp/jp/it/security/taisaku/guideline.html 情報セキュリティポリシーに関するガイドライン] - 内閣 情報セキュリティ対策推進会議決定(平成12年)- 内閣が各省庁に宛てたものであるが、民間でも使える。
 
[[category:セキュリティ技術|せきゆりていほりしい]]