「情報セキュリティポリシー」について

－目次－
１．情報セキュリティ
２．情報セキュリティポリシー
３．情報資産のリスク分析・評価

１．情報セキュリティ
JIS Q27000では「情報セキュリティ」を「情報の機密性、完全性及び可用性を維持すること」と定義しています。
①機密性
機密性は、許可された人だけがアクセスでき、許可されない人はアクセスや閲覧ができないようにすることです。
②完全性
完全性は、保有している情報が正確であり、情報の改ざんなどがなく、完全な状態を保持することです。
③可用性
可用性は、許可された人はいつでも情報にアクセスでき、情報を提供するシステムが常に動作していることです。

２．情報セキュリティポリシー
情報セキュリティポリシーは、基本方針、対策基準、実施手順の3階層で構成されるのが一般的です。これに従って具体的な行動基準やマニュアル、ハード対策が検討されます。セキュリティー対策は、企業や組織の特性に合わせて作成される必要がありますので、自ら実現可能なものを作成することが望ましいとされています。また、どこまでセキュリティ対策を行うかについて、組織の規模やかけられる費用の面からも検討が必要です。

３．情報資産のリスク分析・評価
情報資産のリスク分析・評価は、以下のステップで行われます。
①情報資産を洗い出す対象範囲の特定
②保護すべき重要な情報資産の特定（リスト化）
③各情報資産に対する脅威の特定
④各情報資産に対する脆弱性の特定
⑤各情報資産に対する機密性・完全性・可用性の損失が及ぼす影響特定
⑥各情報資産に対する現在の管理策におけるリスクレベル算定
⑦各リスクが受容可能か否かの判断
⑧実施している対策の改善の必要性検討