情報セキュリティポリシー

組織の情報セキュリティに関する基本方針、対策基準、実施手順を体系的に定めた文書。経営層の承認のもと策定され、組織全体のセキュリティ対策の指針となる。

組織の情報セキュリティに対する基本的な考え方や方向性を経営層が文書化したもの。SMSの情報セキュリティ管理プロセスの基盤となり、全従業員に周知される。

組織の情報セキュリティに関する基本方針、対策基準、実施手順を体系化した文書群。経営者が策定・承認し、組織全体に周知・徹底する。監査では方針の適切性と遵守状況を検証する。

経営陣が承認し、組織の情報セキュリティに対する方向性と支持を表明する文書。情報セキュリティの目的、適用範囲、基本方針を定め、組織全体のセキュリティ活動の基盤となる。法令・規制・契約上の要求事項や情報セキュリティの動向を踏まえて策定・改定する。

組織の情報セキュリティを体系的に管理するための仕組み。リスクアセスメントに基づき管理策を策定・実施し、PDCAサイクルで継続的に改善する。JIS Q 27001（ISO/IEC 27001）が国際規格として定められている。

リスクの特定、分析、評価を体系的に行うプロセス。リスクの発生確率と影響度を評価し、対策の優先度を決定する。経営リスクや情報セキュリティリスクなど、さまざまな分野のリスクマネジメントの中核的な手法。

組織の情報セキュリティを管理するための仕組み。ISO/IEC 27001（JIS Q 27001）に基づき、リスクアセスメントを行い、適切な管理策を選定・実施・運用・監視・改善するPDCAサイクルを回す。ISMS適合性評価制度により第三者認証を受けることができる。

経営陣が主導して、組織全体の情報セキュリティ活動を統治・管理するための枠組み。経営戦略と整合した情報セキュリティ方針の策定、資源配分、リスク管理の意思決定を含む。JIS Q 27014（ISO/IEC 27014）で規定されている。

自然災害やサイバー攻撃などの事業中断リスクに対して、事業の継続性を確保するためのマネジメントシステム。ISO 22301に基づき、事業影響度分析（BIA）、事業継続計画（BCP）の策定・訓練・改善を行う。

リスク特定、リスク分析、リスク評価のプロセス全体を指す。情報資産に対する脅威と脆弱性を洗い出し、リスクの大きさを算定し、対応の優先度を判断する。ISMSにおけるリスクマネジメントの中核プロセスである。