情報セキュリティポリシーとは、企業や組織において実施する情報セキュリティ対策の方針や行動指針のことです。情報セキュリティポリシーには、社内規定といった組織全体のルールから、どのような情報資産をどのような脅威からどのように守るのかといった基本的な考え方、情報セキュリティを確保するための体制、運用規定、基本方針、対策基準などを具体的に記載するのが一般的です。
情報セキュリティ対策は画一的なものではなく、企業や組織の持つ情報や組織の規模、体制によって、大きく異なります。つまり、業務形態、ネットワークやシステムの構成、保有する情報資産などを踏まえた上で、その内容に見合った情報セキュリティポリシーを作成しなければなりません。
情報セキュリティポリシーを作成する目的は、企業の情報資産を情報セキュリティの脅威から守ることですが、その導入や運用を通して社員や職員の情報セキュリティに対する意識の向上や、取引先や顧客からの信頼性の向上といった二次的なメリットを得ることもできます。
情報セキュリティポリシーを整備する上で大切なことは、情報セキュリティ担当者だけがネットワークやパソコンなどに対する情報セキュリティ対策を心がければよいというものではないという点です。情報資産を共有するすべての社員や職員が適切な情報セキュリティ意識を持たなければ、ウイルス、情報漏洩(ろうえい)などから組織を防御することは困難です。
