情報セキュリティポリシー

情報セキュリティポリシーってなに？

情報セキュリティポリシーとは、ISMSに導入し、PDCAにより改善していくものであり、情報資産の情報セキュリティについて、総合的、体系的かつ具体的にとりまとめた指針のこと。

内容は？

基本方針（ポリシー）：組織の取り組み姿勢を策定
対策基準（スタンダード）：情報セキュリティに対しての推進
実施手順（プロシャージャ）：具体的手順
これらを一つとして規程にまとめたもの。
基本方針、対策基準を一つとして見ることも多い。

また情報セキュリティポリシーは策定するだけではNG。内容を情報セキュリティマネージメントシステムにも組み込んでいくことが必要。更にPDCAで改善していくこと。
PDCAと言えば、例のアレです。
Plan(策定）,Do（導入・運用）,Check（システムの監査、確認）,Action（ISMS全体を改善）。
日本企業ってこういうの好きね。

情報セキュリティ管理基準との関係は？

情報セキュリティ管理基準にはポリシーという言葉は出てこないが「方針」という言葉はよく出てくる。情報セキュリティ管理基準の内容の一つとして扱うと考えていいのだろうか。
総務省「総務省 安心してインターネットを使うために 国民のための情報セキュリティサイト」
情報セキュリティポリシー（じょうほう・セキュリティポリシー）