分野：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ管理

情報セキュリティ方針は、「組織が情報セキュリティに対してどのように取り組むか」という基本的な考え方・方針を明文化したもので、目的、対象範囲、組織体制、罰則などが含まれます。

ISMSの管理策では、情報セキュリティ基本方針について次のように記述されています。

• 情報セキュリティのための方針群は、これを定義し、管理層が承認し、発行し、従業員および関連する外部関係者に通知しなければならない。
• 情報セキュリティのための方針群は、あらかじめ定めた間隔で、又は重大な変化が発生した場合に、それが引き続き適切、妥当かつ有効であることを確実にするためにレビューしなければならない。

• 正しい。情報セキュリティ方針はトップマネジメント(経営層)により確立されます。
• 外部関係者に対して通知し、必要に応じて、利害関係者が入手可能であることが求められます。
• 有効性・妥当性を維持するために定期的な改善をすることが求められます。
• 全ての従業員に対して周知させる必要があります。