情報セキュリティ方針

組織の情報セキュリティに関する基本方針、対策基準、実施手順を体系的に定めた文書。経営層の承認のもと策定され、組織全体のセキュリティ対策の指針となる。

組織の情報セキュリティに対する方針や行動指針を文書化したもの。基本方針、対策基準、実施手順の3階層で構成されるのが一般的で、組織全体の情報セキュリティ活動の基盤となる。

組織の情報セキュリティに関する基本方針、対策基準、実施手順を体系化した文書群。経営者が策定・承認し、組織全体に周知・徹底する。監査では方針の適切性と遵守状況を検証する。

経営陣が承認し、組織の情報セキュリティに対する方向性と支持を表明する文書。情報セキュリティの目的、適用範囲、基本方針を定め、組織全体のセキュリティ活動の基盤となる。法令・規制・契約上の要求事項や情報セキュリティの動向を踏まえて策定・改定する。

トップマネジメントが策定するITサービスマネジメントに関する基本方針。組織のサービス提供の目的、方向性、原則を明示し、すべてのSMS活動の基盤となる。

ITサービスにおける情報の機密性・完全性・可用性を確保するためのプロセス。情報セキュリティ方針の策定、リスクアセスメント、セキュリティ管理策の実施と監視を行う。

リリースの命名規則、頻度、種類（メジャー・マイナー・緊急修正）、展開方式などに関する基本方針。リリース管理プロセスの枠組みを定め、一貫性のあるリリース活動を保証する。

情報の機密性、完全性、可用性を脅かす事象で、組織の情報セキュリティ方針に違反するもの。不正アクセス、情報漏洩、マルウェア感染などが該当する。インシデント管理と情報セキュリティ管理の両プロセスで対応する。

認可された者だけが情報にアクセスできることを保証するセキュリティの特性。情報セキュリティの3要素（CIA：機密性・完全性・可用性）の一つであり、アクセス制御や暗号化で確保される。

情報が正確かつ完全であり、不正な変更が行われていないことを保証するセキュリティの特性。情報セキュリティの3要素（CIA）の一つであり、改ざん検知やアクセス制御で確保される。