[ThinkIT] 第4回：情報セキュリティポリシーの作成・維持管理手順 (3/3)

項目	補足説明
組織としての情報セキュリティ管理の方針	組織の理念や経営方針を踏まえて作成する。情報セキュリティポリシーに記載される他の項目と比べても組織のオリジナリティがあらわれやすい項目である。
目的や位置付け	目的や位置付けを明確にし、関連するその他の規程類との関係性を示す。
適用範囲	情報セキュリティポリシーが適用される範囲が、組織が保有するすべての情報資産を対象とするのか、限られた事業所や業務だけを対象とするのかを明確にする。対象人物は、全従業員なのか正社員などの限られた人のみなのかを明確にする。通常は、すべての情報資産と全従業員を対象とする。
用語の定義	情報セキュリティに関連する用語（情報セキュリティ、機密性、完全性、可用性、情報資産、脅威、脆弱性、情報セキュリティポリシー、実施手順書など）の意味を明確にする。
情報資産の重要度分類	リスク評価の結果も踏まえ、組織の保有する情報資産の重要度の分類を定める。分類の数は3〜5位が管理しやすい。
情報セキュリティマネジメントのための組織体制	情報セキュリティマネジメントの最高責任者や、情報セキュリティマネジメントの推進の実務を担う機能、情報セキュリティに関連する対策の責任者などを明確にする。
従業員の役割と責任	情報セキュリティポリシーの適用対象の従業員は、情報セキュリティポリシーを遵守しなければならない旨を明確にしておく。情報セキュリティ管理は本業を円滑に実施するための妨げとなる場合は、遵守されないことがある。従業員へ遵守事項を徹底し、また情報セキュリティ事件・事故などが発生した際の責任の所在を明らかするためにも、従業員の責任と役割を明確にする必要がある。
情報セキュリティ対策の要点	実施するすべての情報セキュリティ対策（人的対策、物理・環境的対策、システム・ネットワーク対策）の項目を整理して記載する。情報セキュリティ対策の内容が部署や業務によって異なる場合を考慮し、組織全体に共通的に適用可能な記述にする必要がある。
関連する規程類や法令など	関連する法令としては、不正アクセス禁止法、不正競争防止法、個人情報保護法（第2回で解説）、e-文章法、電子署名法、著作権法、特許法などがある。