情報セキュリティポリシー

組織の情報セキュリティに対する方針や行動指針を文書化したもの。基本方針、対策基準、実施手順の3階層で構成されるのが一般的で、組織全体の情報セキュリティ活動の基盤となる。

組織の情報セキュリティに対する基本的な考え方や方向性を経営層が文書化したもの。SMSの情報セキュリティ管理プロセスの基盤となり、全従業員に周知される。

組織の情報セキュリティに関する基本方針、対策基準、実施手順を体系化した文書群。経営者が策定・承認し、組織全体に周知・徹底する。監査では方針の適切性と遵守状況を検証する。

経営陣が承認し、組織の情報セキュリティに対する方向性と支持を表明する文書。情報セキュリティの目的、適用範囲、基本方針を定め、組織全体のセキュリティ活動の基盤となる。法令・規制・契約上の要求事項や情報セキュリティの動向を踏まえて策定・改定する。

情報資産に対するリスクを体系的に特定・分析・評価するプロセス。リスク特定（脅威と脆弱性の洗い出し）、リスク分析（発生可能性と影響度の評価）、リスク評価（リスク受容基準との比較）の3段階で構成される。情報セキュリティマネジメントの基盤。

組織の情報セキュリティを体系的に管理するための仕組み。計画（Plan）、実行（Do）、点検（Check）、改善（Act）のPDCAサイクルで継続的に改善する。JIS Q 27001（ISO/IEC 27001）が要求事項を、JIS Q 27002が管理策の実施の手引きを規定する。

特定されたリスクに対する対応策。リスク回避（リスク要因の排除）、リスク低減（セキュリティ対策の実施）、リスク移転（保険やアウトソーシング）、リスク保有（許容範囲として受容）の4つの選択肢がある。

機密性、完全性、可用性を維持するための組織的な取り組み。プロジェクトにおいても、開発環境のセキュリティ、成果物のアクセス制御、機密情報の取扱いなど、情報セキュリティを適切に管理する必要がある。

経済産業省が策定した、情報セキュリティ管理における判断の尺度。ISO/IEC 27001およびISO/IEC 27002を基にしており、情報セキュリティ監査の判断基準として活用される。

ソフトウェアを構成するコンポーネント（ライブラリ、モジュールなど）の一覧とその依存関係を記録したリスト。サプライチェーンにおけるソフトウェアの脆弱性管理に活用され、脆弱性が発見された際の影響範囲の特定を迅速化する。