情報セキュリティポリシーの策定
構造
情報セキュリティポリシーは次の3つの階層から構成される。→IPA - 情報セキュリティマネジメントとPDCAサイクル(図つき)
- 基本方針
- 経営者の「情報セキュリティに本格的に取り組んでいく」という宣言。
- 具体的な手順は含まないが、下位の「対策基準」や「実施手順」はこの方針に沿って作成/運用される
- 対策基準
- 実際に守るべき規定を具体的に定めた文書。
- 実施手順
- 「対策基準」を実施するための詳細な手順。
- 「対策基準」を補完するマニュアル的なもの。
策定手順
策定手順はだいたい次のとおり。
- 組織・体制の確立
- 基本方針の策定
- 守るべき情報資産を洗い出しと分類
- リスク分析
- 対策の選択
- 対策基準の策定
- 対策基準の周知徹底
- 実施手順の策定