情報セキュリティポリシーとは？

詳細解説

情報セキュリティポリシー（Information Security Policy）は、組織が保有する情報資産を保護するための基本的な方針・規則・手順を体系的に文書化したものです。組織のセキュリティ対策の「憲法」的な存在であり、経営層が承認・発令し全従業員が遵守するものです。情報セキュリティポリシーは一般的に3層構造で構成されます。基本方針（Policy）：経営層が宣言する最上位の方針（「情報資産を適切に保護し、ビジネスの継続と顧客の信頼を守る」等）。対策基準（Standard）：方針を実現するための具体的なルール（「パスワードは12文字以上で英数字記号を含む」等）。実施手順（Procedure）：担当者が実際に従う具体的な操作手順書・マニュアル。ISO/IEC 27001（ISMS: Information Security Management System）はセキュリティポリシーを含む情報セキュリティマネジメントシステムの国際規格で、PDCAサイクル（計画→実行→評価→改善）で継続的改善を求めます。日本では「ISMS適合性評価制度」として認証取得企業が増えており、取引先への信頼証明として活用されます。情報資産の機密性（Confidentiality）・完全性（Integrity）・可用性（Availability）の3要素（CIA）の保護がポリシーの核心です。ITパスポート試験では「情報セキュリティポリシーの3層構造」「CIAの定義」「ISMSとの関係」「PDCAサイクルによる継続的改善」が頻出です。

ITパスポートでの出題ポイント

• 1基本方針・対策基準・実施手順の3層構造で構成
• 2機密性（C）・完全性（I）・可用性（A）の保護がポリシーの核心
• 3ISO/IEC 27001がISMS認証の国際規格
• 4PDCAサイクルで継続的に見直し・改善することが重要

関連用語