4.1.1 情報セキュリティポリシとは

情報資産に対するリスクは、脅威と脆弱性が結びつくことによって発生します。リスクを適切な水準でコントロールするためには、脅威を把握し、脆弱性をなくす必要があります。
これらの行為は個々の担当者レベルでも行われていますが、それぞれの社員によってセキュリティ意識やスキルにばらつきがあるのが実情です。また、情報セキュリティはその要素どれか一つでも弱点があると、全体が引っ張られる特徴がある。したがって、セキュリティ対策は全社レベルで実施し、ポイントは個々のレベルを揃える。その為には情報セキュリティポリシ（セキュリティの取り組みビジョン、その基準。罰則規定など）を策定し、対策手順を文書により明確化します。
情報セキュリティポリシの取り組みを宣言することにより、ステークホルダーに対して自社の姿勢を示し、信用・信頼を得ることになる。

4.1.2 法律との違い

不正アクセス禁止法などの法案が整備されてきているが、セキュリティーに関しては企業や組織ごとにおいて異なるので、一元的な法律等で出来る範囲は限定されているのが現状です。そこで、各企業、各組織が各々事情を勘案して情報セキュリティポリシを策定します。公的機関、セキュリティコンサルタントは情報セキュリティポリシを策定の助言やガイドラインの提言を行う。最終的にポリシの策定の責任を負うのは、自企業、自組織である。

4.1.3 JIS Q 27000とISMS

情報セキュリティポリシは、文書の形で示されます。これによって社員等、組織の構成員はその組織内のセキュリティに対するビジョン、守らなければいけない手順、違反した場合の罰則等を理解できます。
しかし、多くの文書がそうであるように、作成されたポリシはいつか古くなります。規定文書が効力を失うことを死文化、空文化といいます。
このような死文化を防ぎ、作成された情報セキュリティポリシを100％活用するための仕組みが情報セキュリティマネジメントシステム(ISMS)です。
• ベースラインアプローチ
• JIPDEC（日本情報処理開発協会）
• ベストプラクティス
• JIS Q 27014,情報セキュリティガバナンス

4.1.4 情報セキュリティポリシの種類

情報セキュリティポリシを策定する場合、規定される文書は3階層に分類されるのが一般的です。
• 情報セキュリティ基本方針
• 情報セキュリティ対策基準
• 情報セキュリティ対策実施手順
• 文書の世代管理

4.1.5 他の社内文書等との整合性

情報セキュリティポリシは他の社内文書等と競合するものではない。基本方針の立案は会社の業務理念に適合していなければならない。就業規則などの利用できる既存の社内規定は積極的に活用します。労働基準法が既にあり、ポリシの策定にあたって、その法令の基準に下回るような労働環境になってはいけない。罰則規定も同様でポリシ策定によって劣悪な労働契約になると、人的脅威が発生しかねないことからセキュリティ上の問題に発展する。

4.1.5 情報セキュリティポリシを
具体化する組織
CSIRT,SOC

• CSIRT(Computer Security Incident
Response Team)
• CSIRTガイド
• JPCERT/CC
• SOC(Security Operation Center)