情報セキュリティマネージメント

企業は情報資産が安全に管理されていること、顧客や取引先に対して証明する必要があります。
そのためには、的確に情報を管理しなければなりません。 それを、情報セキュリティマネージメント呼びます。 (厳格には、「情報の価値の極大化」と「情報化投資の極小化」のバランスを図ることで、 企業統治の考えより要求されています。)

具体的には、リスクの評価を行い、必要なセキュリティレベルを設定して運用することです。 このシステムをISMS(Information Security Management System:情報セキュリティマネージメントシステム)と呼びます。 (JIPDECによる ISMS適合性評価制度があります。 以前は「情報処理サービス業情報システム安全対策実施事業所認定制度」がありました)

なお、情報セキュリティマネージメントを 「コンプライアンス・プログラム(CP)」という用語で 使われることもあります。

 情報セキュリティポリシー

多くのガイドラインで、 次の3階層構造となるドキュメント群を用意して、それを運用することが示されています。 それは、情報セキュリティ基本方針、実施(又は対策)基準、実施手順の構造です。
まず情報セキュリティ基本方針を策定し取締役が承認することで、 業務上守るべき規則が明確になり、実行力を持たせることができます。
この基本方針は、組織外にも公開されることが多いようです。 (一般に実施基準、実施手順は非公開です)
そして、情報セキュリティ基本方針 と 実施基準 が 情報セキュリティポリシーと呼ばれています。

 情報セキュリティマネージメントのサイクル

情報セキュリティポリシーを策定しただけでは、システムが有効に働きません。 変化する業務に対して、継続的な改善を含む運営が必要となります。