情報セキュリティ方針

組織の情報セキュリティに関する基本方針、対策基準、実施手順を体系的に定めた文書。経営層の承認のもと策定され、組織全体のセキュリティ対策の指針となる。

組織の情報セキュリティに対する方針や行動指針を文書化したもの。基本方針、対策基準、実施手順の3階層で構成されるのが一般的で、組織全体の情報セキュリティ活動の基盤となる。

組織の情報セキュリティに対する基本的な考え方や方向性を経営層が文書化したもの。SMSの情報セキュリティ管理プロセスの基盤となり、全従業員に周知される。

組織の情報セキュリティに関する基本方針、対策基準、実施手順を体系化した文書群。経営者が策定・承認し、組織全体に周知・徹底する。監査では方針の適切性と遵守状況を検証する。

組織の情報セキュリティを管理するための仕組み。ISO/IEC 27001（JIS Q 27001）に基づき、リスクアセスメントを行い、適切な管理策を選定・実施・運用・監視・改善するPDCAサイクルを回す。ISMS適合性評価制度により第三者認証を受けることができる。

経営陣が主導して、組織全体の情報セキュリティ活動を統治・管理するための枠組み。経営戦略と整合した情報セキュリティ方針の策定、資源配分、リスク管理の意思決定を含む。JIS Q 27014（ISO/IEC 27014）で規定されている。

自然災害やサイバー攻撃などの事業中断リスクに対して、事業の継続性を確保するためのマネジメントシステム。ISO 22301に基づき、事業影響度分析（BIA）、事業継続計画（BCP）の策定・訓練・改善を行う。

リスク特定、リスク分析、リスク評価のプロセス全体を指す。情報資産に対する脅威と脆弱性を洗い出し、リスクの大きさを算定し、対応の優先度を判断する。ISMSにおけるリスクマネジメントの中核プロセスである。

情報セキュリティ方針に基づき、組織が遵守すべき具体的なセキュリティ対策の基準を定めた文書。情報の分類・管理、アクセス制御、ネットワーク管理など各分野の対策水準を規定する。

組織の情報セキュリティ対策が適切に実施されているかを独立した立場から検証・評価する活動。監査計画に基づき、管理策の有効性、諸規程の遵守状況を確認し、改善のための助言を行う。助言型監査と保証型監査がある。