top of page
検索

「情報セキュリティ基本方針」とは

  • 執筆者の写真: 舩生 好幸
    舩生 好幸
  • 5月28日
  • 読了時間: 4分

~情報セキュリティ活動の拠り所:方向性や実施すべき要件を文書で表現~


投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2025.5.28


出典:写真AC(https://www.photo-ac.com/)
出典:写真AC(https://www.photo-ac.com/)

「情報セキュリティ基本方針」「情報セキュリティポリシー」などの文書は、事業者様の情報セキュリティ活動の拠り所となるものです。


本ブログでは、国際規格ISO/IEC27001と、国内の中小企業向けにIPAが公開する情報に基づいてご紹介します。



〇ISO/IEC27001における「情報セキュリティ方針」の要件


ISO/IEC27001に基づいてISMS(情報セキュリティマネジメントシステム)を企業/組織に構築する場合は、トップマネジメント(経営者や組織の長)は、ISMSで取り組まねばならない活動の方向性や、実施しなければならない要件を「情報セキュリティ方針」として文書化することが求められます。


その要件は5.2項に記述されています。以下に引用します。


--(引用:JIS Q 27001:2023(ISO/IEC 27001:2022)5.2項)ーー

5.2 方針

 トップマネジメントは,次の事項を満たす情報セキュリティ方針を確立しなければならない。

a) 組織の目的に対して適切である。

b) 情報セキュリティ目的(6.2参照)を含むか、または情報セキュリティ目的の設定のための枠組みを示す。

c) 情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。

d) ISMSの継続的改善へのコミットメントを含む。


 情報セキュリティ方針は,次に示す事項を満たさなければならない。

e) 文書化した情報として利用可能である。

f) 組織内に伝達する。

g) 必要に応じて,利害関係者が入手可能である。

--(引用ここまで:JIS Q 27001:2023(ISO/IEC 27001:2022)5.2項)ーー


・「情報セキュリティ方針」は、上記a)~g)の要件を満たして作成する必要がありますが、具体的な記述や形式等については企業/組織に任せられています。


・作成した「情報セキュリティ方針」は、上記f)項にあるとおり、組織内へ伝達・周知されることが求められます。またg)項の通り、必要に応じて組織の利害関係者が入手できるようにします。



〇中小企業向け:IPAが公開する「情報セキュリティ基本方針」


国内の中小事業者向けに、IPA(独立行政法人情報処理推進機構)からは情報セキュリティ基本方針の「ひな形」が公開されています。


この「ひな形」は、IPAのサイトからダウンロードできる「中小企業の情報セキュリティ対策ガイドライン」第3.1版の付録2「情報セキュリティ基本方針(サンプル)」という位置づけです。


表紙イメージ「中小企業の情報セキュリティ対策ガイドライン」第3.1版
表紙イメージ「中小企業の情報セキュリティ対策ガイドライン」第3.1版

この基本方針ひな形は5か条からなり、必要事項をカスタマイズして自組織版に仕上げます。

以下、ひな形に記載される序文と、続く5項目などをご紹介します。

----------


株式会社○○○○(以下、当社)は、お客様からお預かりした/当社の/情報資産を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応えるべく、以下の方針に基づき全社で情報セキュリティに取り組みます。


1.経営者の責任

当社は、経営者主導で組織的かつ継続的に情報セキュリティの改善・向上に努めます。


2.社内体制の整備

当社は、情報セキュリティの維持及び改善のために組織を設置し、情報セキュリティ対策を社内の正式な規則として定めます。


3.従業員の取組み

当社の従業員は、情報セキュリティのために必要とされる知識、技術を習得し、情報セキュリティへの取り組みを確かなものにします。


4.法令及び契約上の要求事項の遵守

当社は、情報セキュリティに関わる法令、規制、規範、契約上の義務を遵守するとともに、お客様の期待に応えます。


5.違反及び事故への対応

当社は、情報セキュリティに関わる法令違反、契約違反及び事故が発生した場合には適切に対処し、再発防止に努めます。


制定日:20〇○年○月○日

株式会社○○○○

代表取締役社長 ○○○○


----------

(上記出典:「中小企業の情報セキュリティ対策ガイドライン第3.1版」付録2「情報セキュリティ基本方針(サンプル)」)


完成した情報セキュリティ基本方針は、「中小企業の情報セキュリティ対策ガイドライン」第3.1版の記述に従い、従業員や顧客などの関係者に周知しましょう。


(※IPAの上記ガイドラインもISO/IEC27001を参考にしており、大筋ではISO/IEC27001と整合するように作られています。)



〇まとめ

自組織の情報セキュリティ対策の拠り所となる「情報セキュリティ基本方針」「情報セキュリティポリシー」などを作成・制定する際は、国際規格やIPA公開情報などをご参考とされると検討の際に「抜け漏れ」が少なくなり、作業も効率的です。


ご利用をお勧めします。


(Primary-f/向実庵 代表)



<ご案内>

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。



出典:写真AC(https://www.photo-ac.com/)
出典:写真AC(https://www.photo-ac.com/)

Comentários

bottom of page