情報セキュリティマネジメント試験情報＆徹底解説

情報セキュリティの基本方針(情報セキュリティポリシー)には、明確な基準となる構成や法の定義があるわけではありませんが、情報処理技術者試験では、IPA：情報処理推進機構が公開している「情報セキュリティポリシーの策定」に基づいて出題されています。

この中で情報セキュリティポリシーは、基本方針(ポリシー)、対策基準(スタンダード)、実施手順(プロシージャー)の３階層の文書構成をとるのが一般的であるとされています。以下の説明はIPAのサイトに掲載されている内容を引用したものです。

基本方針

組織の経営者が、「情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を社内外に宣言するものです。「なぜセキュリティが必要か」という「Why」について規定し、何をどこまで守るのか（対象範囲）、誰が責任者かを明確にします。また、業界標準、該当する法令、政府規制への準拠を宣言する場合があります。

対策基準

基本方針で作成した目的を受けて、「何を実施しなければならないか」という「What」について記述します。組織的に情報セキュリティ対策を行うためのルール集で、人事規程や就業規程などの類の企業の構成員が守るべき「規程類」に相当します。実際に守るべき規程を具体的に記述し、適用範囲や対象者を明確にします。

実施手順

対策基準で定めた規程を実施する際に、「どのように実施するか」という「How」について記述します。マニュアル的な位置づけの文書であり、詳細な手順を記述します。

基本方針や対策基準は組織の最終的な意思決定者である経営者レベルが関与し、情報セキュリティの全社的な組織であるセキュリティ委員会などで策定、承認及び見直しも行います。

• 環境の変化に合わせて定期的な見直しが必要になります。
• 正しい。
• 情報セキュリティマネジメントを確立するために取り組む姿勢を、社内外に宣言するものです。
• 情報セキュリティ実施手順の説明です。