securityPolicyとは？ わかりやすく解説

デジタル大辞泉

セキュリティー‐ポリシー【security policy】

読み方：せきゅりてぃーぽりしー

個人情報の保護や機密漏洩の防止をはじめ、企業などがコンピューターセキュリティーに対する基本方針をまとめたもの。

.NET Framework用語集

セキュリティ ポリシー [security policy]

管理者が作成するアクティブなポリシー。コードが要求するアクセス許可に基づき、すべてのマネージ コードに対し付与されるアクセス許可をプログラムにより生成します。ポリシーが付与するよりも高いアクセス許可を要求するコードの実行は許可されません。参照 : 要求されたアクセス許可

IT用語辞典バイナリ

セキュリティポリシー

【英】security policy

セキュリティポリシーとは、企業や組織におけるコンピューターのセキュリティに関する方針や行動指針のことである。

セキュリティに関する決定を行う際に、行動の指針となるもので、セキュリティポリシーの存在する企業では、基本的には全ての行動が、セキュリティポリシーに従って定められる。

具体的には、どのようなプログラムを用いて、どのようなパケットを通過させるのかなどといった技術的な事柄から、社員のアクセス権をどの程度許すのかといったことや、席を立つ際には、書類をデスクの上に置かないなどといった人間の活動に関わることも含まれる。

企業にとっては、セキュリティポリシーを策定し公開することによって、判断の基準や実施すべき対策が明確になるという利点がある。また、社内におけるセキュリティへの意識の向上にも繋がるといわれている。

ウィキペディア

情報セキュリティポリシー

(securityPolicy から転送)

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2021/06/11 06:13 UTC 版)

この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。出典を追加して記事の信頼性向上にご協力ください。 出典検索?: "情報セキュリティポリシー" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL（2017年7月）

情報セキュリティポリシー（じょうほうセキュリティポリシー、information security policy）とは、企業などの組織における情報資産の情報セキュリティ対策について、総合的・体系的かつ具体的にとりまとめたもの。どのような情報資産をどのような脅威から守るのかについての基本的な考え方（基本方針）と、その基本方針で定めた情報セキュリティを確保するために遵守すべき行為や判断などの基準（対策基準）とから成る。情報セキュリティポリシーは、PDCAサイクルによって、評価・見直しをし、改善していく。省略して、単にセキュリティポリシーと呼ぶことも多い。

目次

• 1 概要
• 2 具体的内容
• 3 継続的な改善
• 4 制定の効果
• 5 関連項目
• 6 外部リンク

概要

次の3つのうち、1. と 2. を併せて情報セキュリティポリシーという。

1. 情報セキュリティ基本方針（ポリシー）

   組織における、情報セキュリティ対策に対する根本的な考え方を表すものであり、組織が、どのような情報資産を、どのような脅威から、なぜ保護しなければならないのかを明らかにし、組織の情報セキュリティに対する取組み姿勢を示すもの。

2. 情報セキュリティ対策基準（スタンダード）

   基本方針で定められた情報セキュリティを確保するために遵守すべき行為や判断などの基準。つまり基本方針を実現するために何をしなければいけないかを示すもの。

3. 情報セキュリティ実施手順など（プロシージャ）

   ポリシーには含まれないものの、対策基準に定められた内容を具体的な情報システムまたは業務において、どのような手順に従って実行していくのかを示すマニュアルなど。

具体的内容

情報セキュリティポリシーの具体的内容は、次のようなものである。

• どの情報を誰にアクセスさせ、誰にアクセスさせないか。
• どの操作を誰に対して許可し、誰に許可しないか。
• ウイルスや外部からの侵入に対して、どのような防御体制を整えるか。
• それらが正常に機能していることをどのように確認し、維持管理していくか。

継続的な改善

情報セキュリティポリシーは、策定して終わるのではない。その内容を組織の情報セキュリティマネジメントシステム (ISMS) に導入し、実施し、評価・見直しをし、PDCAサイクルによって改善していく必要がある。

1. 計画・目標の策定 (Plan)

   ポリシー（基本方針、対策基準、実施手順など）を策定する。

2. 導入・運用 (Do)

   ポリシーを配布し、教育し、物理的・人的・技術的な措置を取る。

3. 監視・見直し (Check)

   システムの監視をし、ポリシーの遵守状況の確認をする。

4. 改善・処置 (Act)

   ポリシーを含むISMS全体を改善する。

制定の効果

情報セキュリティポリシーは、組織（企業）の情報セキュリティを確保することを目的とする。判断基準や、実施すべき対策などを明確にすることによって、組織構成員（社員）のセキュリティに対する意識を向上させる効果もある。

外部に対しては、次の効果がある。

• 顧客情報・個人情報の取扱いに対するポリシーを公表し、約束することによって、不安を解消する。
• 組織内のセキュリティ対策にきちんと取り組んで、セキュリティ上の事故を防ぐ。
• 取組みをアピールすることによって、対外的なイメージや信頼性の向上を図る。

セキュリティポリシーは、「制定している」・「もっている」だけではなく、実行しなければ全く意味がない。

関連項目

• サイバー犯罪
• 情報処理安全確保支援士（RISS）
• プライバシーポリシー
• 情報処理の促進に関する法律
• サイバーセキュリティ基本法
• 情報処理推進機構（IPA）
• JPCERT/CC
• 内閣サイバーセキュリティセンター（NISC）

外部リンク

• 情報セキュリティポリシーに関するガイドライン 内閣 情報セキュリティ対策推進会議決定（平成12年）- 内閣が各省庁に宛てたものであるが、民間でも使える。

Weblio日本語例文用例辞書

「security policy」の例文・使い方・用例・文例

• être for this policy? この政策はどんな存在理由があるのか.