📌 結論から理解する
情報セキュリティポリシー=「組織のセキュリティのルール文書」
情報セキュリティポリシーは、組織が情報セキュリティに取り組む姿勢・方針・ルールを文書化したものです。
「なぜ守るか(方針)」→「何を守るか(基準)」→「どう守るか(手順)」の3層構造が基本です。
3層構造(基本方針→対策基準→実施手順)の名称と内容が頻出。「どれが上位文書か」という問いが出ます。
3層構造の図解
① 基本方針(情報セキュリティ基本方針)
経営トップが承認。組織の基本的姿勢を宣言。
「なぜセキュリティに取り組むか」
「なぜセキュリティに取り組むか」
② 対策基準(情報セキュリティ対策基準)
部門・システムごとに守るべき規則を定義。
「何を・どのレベルで守るか」
「何を・どのレベルで守るか」
③ 実施手順(セキュリティ手順書・規程)
業務ごとの具体的な操作手順を記述。
「どうやって守るか」
「どうやって守るか」
上位文書が下位文書より優先。実施手順は基本方針に矛盾してはならない。
各層の具体的な内容
| 層 | 内容の例 | 変更頻度 |
|---|---|---|
| 基本方針 | 「当社は情報資産を適切に保護し、事業継続を確保する」 「情報セキュリティ委員会を設置し、全社的に取り組む」 |
低(数年に1回) |
| 対策基準 | 「パスワードは8文字以上で英数字記号を含む」 「重要情報は暗号化して保管する」 「外部へのUSB持ち出しは事前承認が必要」 |
中(年1〜2回) |
| 実施手順 | 「パスワード変更の手順:1.設定画面を開く 2.現在のパスワードを入力…」 「メール誤送信時の対応フロー」 |
高(変更に応じて随時) |
ポリシー策定のポイント
- 経営トップ(社長・役員)がコミットメントとして署名・承認する
- 全従業員が理解・遵守できる内容にする
- 実態に合わない形だけのポリシーは機能しない
- 定期的に見直し・更新する(PDCAサイクルを回す)
- 従業員への周知・教育が必須
- 違反した場合の罰則・対応も明記する
「ポリシーの策定は経営層が主導する」という点が試験で頻出。IT部門だけの問題ではない。
ISMSとポリシーの関係
ISMSを構築する際、情報セキュリティポリシーは必須の文書です。
📋
ISMSのP(Plan)フェーズでポリシーを策定・リスクアセスメントを実施
⚙️
ISMSのD(Do)フェーズでポリシーに基づいて対策を実施・運用
🔍
ISMSのC(Check)フェーズで監査によりポリシー遵守状況を確認
🔄
ISMSのA(Act)フェーズでポリシーを見直し・改善する
よくある勘違い
「ポリシーを作れば安全」は誤り。作るだけでは機能しない。周知・教育・遵守チェック・定期見直しがセットで必要。
「基本方針=詳細なルール」は誤り。基本方針は抽象度が高い「宣言」。詳細なルールは対策基準・実施手順に書く。
🧠 確認クイズ
Q1. 情報セキュリティポリシーの3層構造で、最も上位(抽象度が高い)文書はどれか?
Q2. 情報セキュリティポリシーの策定において、最も重要な承認者は誰か?
Q3. 3層構造のうち「パスワードは8文字以上にすること」という規則が属する層はどれか?