セキュリティに関する文書は、一般的には基本方針、対策基準、実施基準の3つに分けられます。セキュリティポリシーとは、広義にはこの3つ全体あるいは上の2つを指すこともありますが、通常は基本方針だけを指します。
- 基本方針(基本ポリシー)狭義のセキュリティポリシー
- 情報セキュリティマネジメントの最高責任者である経営者が、情報セキュリティに関する基本的な方針を示すものとして、情報セキュリティに対する目標と、その目標を達成するために企業がとるべき行動を社内外に宣言するものです。
社内に宣言するのは、経営者が全社的な運動として率先して取り組むことを示すためですし、社外に宣言するのは、社外関係者に情報セキュリティ対策に努力していることを示して信頼を得るため、信頼の保証をするためにも必要です。社外にコミットすることにより、後に引けない状況にする効果もあります。
あくまでも基本方針であり、特定のシステムや個々の脅威(リスク)などに具体的に言及した内容は含みません。
同業種の協会などが、標準的なセキュリティポリシーを策定することがあります。業種に合致したものではありますが、個々の企業で状況が異なり、それぞれに適した方針があるので、参考にはするが自社に合わせて修正することが必要です。 - 対策基準(スタンダード)
- 基本方針に基づいて適切なセキュリティ対策が行われるために、関係者が遵守すべきセキュリティ活動の基準を具体的に明文化したものです。個々の情報資産のリスクへの対策と情報資産の重要性を比較し、適切なセキュリティ対策を規定するものです。
通常は、ウィルス対策ガイドラインとかパソコン利用規程など、ガイドラインや規程の形式になります。内容は、「利用者はパスワード秘守をしなければならない」といったレベルの記述になります。 - 実施基準(プロシージャ)
- 適切なセキュリティを維持するために、関係者が遵守すべきセキュリティ対策の実施手順を具体的に示したものです。対策基準で定めた内容に対応する実施手順を、各担当部門や職務に関して定めます。通常は手引書とかマニュアルのような形式になる。内容は「パスワードは8文字以上で、かならず特殊文字を2文字以上いれること」とか「月1回あるいはアクセス回数が100回以上になったときはパスワードを変更すること」などの記述になります。
対策基準を基本規定として、組織全員が順守しなければならない規程を示し、実施基準を運用手順として、具体的な情報システムまたは業務に従事する者に、どのような手順にしたがって実行するかを示すものと区分することもあります。
基本方針や実施基準は全社的に策定されますが、実施基準は担当部門レベルで策定することもあります。また、基本方針は、大きな環境変化がなければ、あまり改訂をしませんが、対策基準や実施基準は環境の変化に応じて改訂します。