sg security_management isms asset_management it_security_operations sg-security-management
まず結論
- 情報セキュリティ基本方針とは、経営者が示す「情報をどう守るか」という方向性と意思を表した文書
- SG試験では「具体的な対策ではなく、方針レベルかどうか」を判断させる問題が多い
直感的な説明
会社のトップが
「うちは情報セキュリティをこういう考えで守ります」と宣言するのが基本方針です。
たとえば:
- 情報を守ることを重要視する
- 法令を守る
- 継続的に改善する
👉 現場の細かいルールではなく
“会社としての考え方”を示すものです
定義・仕組み
情報セキュリティ基本方針は、情報セキュリティポリシーの最上位に位置します。
主な内容は以下のようなものです:
- 情報セキュリティの目的(なぜ守るのか)
- 適用範囲(どこまで守るのか)
- 経営者の責任と関与
- 法令・規格の遵守
- 継続的改善の方針
👉 ポイントは
「具体的な対策は書かない」こと
また、基本方針は
- 社内に周知される
- 必要に応じて社外にも公開される
という特徴があります
どんな場面で使う?
使う場面
- ISMSの構築・運用
- 社内のセキュリティ教育
- 外部への信頼性アピール(Web公開など)
👉 「この会社はちゃんとセキュリティを考えているか」を示す土台になります
注意が必要な場面
- 手順書のような細かい内容を書く
- システム単位の対策を書く
👉 それは
対策基準や実施手順の役割です
よくある誤解・混同
❌ 誤解1
- 基本方針は機密文書なので外部に出さない
👉 ⭕ 正しくは
外部公開されることもある(信頼性の証明)
❌ 誤解2
- 一度決めたら変更しない
👉 ⭕ 正しくは
環境変化(法改正・技術)に応じて見直す
❌ 誤解3
- 具体的な対策を書く文書
👉 ⭕ 正しくは
方向性だけを書く(具体策は下位文書)
SG試験では
👉「それは方針レベルか?具体策か?」
と問われることが多いです
まとめ(試験直前用)
- 基本方針=経営者の宣言(方向性)
- 具体的対策は書かない(→対策基準・手順)
- 社外公開されることがある
- 環境に応じて見直す
- 「具体的すぎる内容」は誤りと判断
🔗 関連記事
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 情報資産台帳とは?リスク管理の出発点を整理【情報セキュリティマネジメント】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証方式とは?3要素と多要素認証を整理【SG試験】