まず情報セキュリティ基本方針を策定し取締役が承認することで、 業務上守るべき規則が明確になり、実行力を持たせることができます。
この基本方針は、組織外にも公開されることが多いようです。 (一般に実施基準、実施手順は非公開です)
そして、情報セキュリティ基本方針 と 実施基準 が 情報セキュリティポリシーと呼ばれています。
企業は情報資産が安全に管理されていること、顧客や取引先に対して証明する必要があります。
そのためには、的確に情報を管理しなければなりません。
それを、情報セキュリティマネージメント呼びます。
(厳格には、「情報の価値の極大化」と「情報化投資の極小化」のバランスを図ることで、
企業統治の考えより要求されています。)
具体的には、リスクの評価を行い、必要なセキュリティレベルを設定して運用することです。
このシステムをISMS(Information Security Management System:情報セキュリティマネージメントシステム)と呼びます。
(JIPDECによる
ISMS適合性評価制度があります。
以前は「情報処理サービス業情報システム安全対策実施事業所認定制度」がありました)
なお、情報セキュリティマネージメントを 「コンプライアンス・プログラム(CP)」という用語で 使われることもあります。
多くのガイドラインで、
次の3階層構造となるドキュメント群を用意して、それを運用することが示されています。
それは、情報セキュリティ基本方針、実施(又は対策)基準、実施手順の構造です。
まず情報セキュリティ基本方針を策定し取締役が承認することで、
業務上守るべき規則が明確になり、実行力を持たせることができます。
この基本方針は、組織外にも公開されることが多いようです。
(一般に実施基準、実施手順は非公開です)
そして、情報セキュリティ基本方針 と 実施基準 が
情報セキュリティポリシーと呼ばれています。
情報セキュリティポリシーを策定しただけでは、システムが有効に働きません。
変化する業務に対して、継続的な改善を含む運営が必要となります。
