情報セキュリティの方針群の構成
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/08/10 02:32 UTC 版)
「情報セキュリティマネジメントシステム」の記事における「情報セキュリティの方針群の構成」の解説
情報セキュリティの方針群の構成に関して特に決まりはないが、IPAによれば一般的に以下のような3段階の階層構造なっている事が多い: 情報セキュリティ基本方針:「情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を社内外に宣言するもの」。「なぜセキュリティが必要か」、「何をどこまで守るのか」、「誰が責任者か」を明確化する 情報セキュリティ対策基準: 基本方針に記載された目的を受けて「何を実施しなければならないか」を記述。情報セキュリティ対策を行うためのルール集。規程、適用範囲、対象者を明確化。 情報セキュリティ実施手順: 対策基準で定めた規程をどのように実施するかを記載。詳細な手順を記したマニュアル的な位置づけ。 上記3つのうち最初の2つ、もしくは3つすべてを情報セキュリティポリシーと呼ぶ。 一方JIPDECの情報セキュリティポリシーのサンプルでは以下の5段構成で、最初の3つを情報セキュリティポリシーと呼んでいる。 情報セキュリティ基本方針:情報セキュリティへの取り組み姿勢を世の中に宣言 情報セキュリティ方針:ISMSの方針を記載。体制、役割、責任の明記 情報セキュリティ対策規定(群):導入・順守すべき対策を日常レベルのものまで明記 情報セキュリティ対策手順書(群):日々実施すべき具体的行動を明記 記録(群):対策の遵守・運用に伴う記録
※この「情報セキュリティの方針群の構成」の解説は、「情報セキュリティマネジメントシステム」の解説の一部です。
「情報セキュリティの方針群の構成」を含む「情報セキュリティマネジメントシステム」の記事については、「情報セキュリティマネジメントシステム」の概要を参照ください。
- 情報セキュリティの方針群の構成のページへのリンク
