分野：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ管理

情報セキュリティポリシーとは、企業などの組織が「情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を社内外に宣言するものです。 文書には情報資産の情報セキュリティ対策について具体的に取りまとめられ、情報資産をどのような脅威からどのように守るのかということや、それを実現するための体制や運用を規定します。

• 同業他社のポリシーを参考程度にすることは問題ありませんが、自社と他社では異なる部分が必ずあります。自社の業務状況に適合するように、また自社の方針に合うように独自に策定する必要があります。
• 作成したポリシーは社内外に公開し、広く周知することが望まれます。一般従業員やステークホルダなどにも公開するべきです。
• 正しい。情報セキュリティポリシーには、情報セキュリティに対する基本方針とそれを実施するための組織体制が記述されます。
• ファイアウォールの設定内容など具体的なセキュリティ施策は、セキュリティ規程に当たる情報セキュリティ実施基準に記述されます。