情報セキュリティポリシー

組織の情報セキュリティに関する基本方針、対策基準、実施手順を体系的に定めた文書。経営層の承認のもと策定され、組織全体のセキュリティ対策の指針となる。

組織の情報セキュリティに対する方針や行動指針を文書化したもの。基本方針、対策基準、実施手順の3階層で構成されるのが一般的で、組織全体の情報セキュリティ活動の基盤となる。

組織の情報セキュリティに対する基本的な考え方や方向性を経営層が文書化したもの。SMSの情報セキュリティ管理プロセスの基盤となり、全従業員に周知される。

経営陣が承認し、組織の情報セキュリティに対する方向性と支持を表明する文書。情報セキュリティの目的、適用範囲、基本方針を定め、組織全体のセキュリティ活動の基盤となる。法令・規制・契約上の要求事項や情報セキュリティの動向を踏まえて策定・改定する。

経済産業省が策定した、情報セキュリティ監査を行う際の行為規範。情報セキュリティ管理基準とあわせて活用し、組織の情報セキュリティ対策の適切性・有効性を検証・評価する枠組みを提供する。

経済産業省が策定した、情報セキュリティ管理における判断の尺度。ISO/IEC 27001およびISO/IEC 27002を基にしており、情報セキュリティ監査の判断基準として活用される。

情報セキュリティに関するリスクのマネジメントが効果的に実施されるよう、リスクアセスメントに基づく適切なコントロールの整備・運用状況を、独立かつ専門的な立場で検証・評価する監査。

組織が保有する情報およびその情報を管理するための仕組み（情報システム、ネットワーク、設備等）の総称。情報セキュリティリスクアセスメントでは、保護すべき情報資産の特定が最初のステップとなる。

情報セキュリティのマネジメントやコントロールが適切であることについて、監査人が一定の保証を与える形式の情報セキュリティ監査。情報セキュリティ監査基準で定められた手続に基づいて実施する。

情報セキュリティのマネジメントやコントロールの改善に向けた助言を行うことを目的とした情報セキュリティ監査。問題点の指摘と改善提案を行い、組織のセキュリティ水準の向上を支援する。