🔒 ITパスポート | セキュリティ
情報セキュリティポリシー
とは?
「何をどう守るか」を組織で決めた文書の体系。基本方針・対策基準・実施手順の3層で成り立つ。
🎬 こんなシーンを想像
新入社員のあなた。入社初日に「情報セキュリティポリシーを読んで守ること」と言われた。分厚い文書を渡されたが、どこに何が書いてあるのかさっぱりわからない。
…セキュリティポリシーって、全部同じ文書なの?
📋 セキュリティポリシーの3層構造
① 基本方針
② 対策基準
③ 実施手順(スタンダード)
経営者が宣言
部門・役割ごと
具体的な操作
① 基本方針
「わが社は情報セキュリティを最優先事項とする」など、
経営トップが宣言
する組織全体の方向性。抽象度が高い。
② 対策基準
部門・役割ごとに「何をすべきか」を定めたルール。「パスワードは8文字以上」など、
守るべき基準
を規定する。
③ 実施手順
「PCを起動したらまずVPNに接続し、〜の手順で…」など、
誰がどう動くか
の具体的操作手順。最も詳細。
🗂️ ポリシーが生まれる流れ
経営層が「基本方針」を策定・公表
社外(取引先・顧客)にも公開し、組織の姿勢を示す。経営者の署名が入る。
▼
情報システム部門が「対策基準」を策定
基本方針を受けて、システム・部署ごとに守るべきルールを文書化する。
▼
担当者が「実施手順」を整備・教育
誰でも同じ手順で動けるようマニュアル化し、定期的に教育・見直しを行う。
⚠️ ひっかけ注意ポイント
「基本方針」は社外秘ではない
基本方針は
社外にも公開
するもの。「社外秘」として管理するのは対策基準や実施手順の方。
「実施手順」が一番詳しい
「より詳細なルール」「具体的な操作方法」→ 実施手順(スタンダード)。基本方針を詳しい方と混同しない。
ISMSとの違い
情報セキュリティポリシーは
文書の体系
。ISMSはセキュリティを
継続的に管理する仕組み(マネジメントシステム)
全体を指す。ポリシーはISMSの一部。
🧠 覚え方(無理やりゴロ)
ポリシーは
「基・対・実」
の3段ロケット!
基(き)本方針 → 対(たい)策基準 → 実(じつ)施手順
上から「なぜ→何を→どうやる」
抽象(上) ▶ 具体(下)=ピラミッド構造
ITパスポート 詳細解説 / HTML+SVG(文字はすべてテキスト=検索エンジンが読める)