sg sg-security-management isms asset_management it_security_operations
まず結論
- 情報セキュリティポリシーとは、組織が情報を守るためのルールを3階層(基本方針・対策基準・実施手順)で体系化したもの
- SG試験では「どの階層の内容か」を見抜けるかが最重要
直感的な説明
会社で「セキュリティを強化しよう」と言っても、それだけでは動きません。
そこで、次のように分けて考えます:
- 方針(どういう考えで守るか)
- ルール(何を守るか)
- 手順(どうやってやるか)
👉 この3つを整理したものが「情報セキュリティポリシー」です
現場イメージは
「社長の宣言 → 社内ルール → 作業マニュアル」
👉 これをバラバラにせず、体系化しているのがポイント
定義・仕組み
情報セキュリティポリシーは、
ISMSに基づいて策定される、組織のセキュリティ方針とルール体系
です。
👉 単なるルールではなく、ISMSの中核となる文書
① 情報セキュリティ基本方針(ポリシー)
- 経営者が示すセキュリティの方向性
- 例:情報資産を適切に保護する
👉 ポイント:抽象的・宣言レベル 👉 外部公開されることもある
② 情報セキュリティ対策基準(スタンダード)
- 方針を実現するための具体的ルール
- 例:パスワードは○文字以上
👉 ポイント:守るべきルール 👉 全社共通で適用される
③ 情報セキュリティ実施手順(プロシージャ)
- 現場での具体的な作業方法
- 例:パスワード変更の操作手順
👉 ポイント:実際のやり方 👉 部門ごとに異なることがある
👉 まとめると
- 方針:なぜ守るか
- 基準:何を守るか
- 手順:どうやるか
👉 上から下に行くほど具体的になる
どんな場面で使う?
使う場面
- ISMSの構築・運用
- 社内ルールの統一
- 監査・認証対応
- 委託先管理
👉 SG試験では
「どのレベルの文書か」を判断させる問題が多い
注意が必要な場面
- 基本方針に細かい手順を書く → ❌
- 手順書に全社ルールを書く → ❌
👉 階層が混ざっている選択肢は基本NG
よくある誤解・混同
❌ 誤解①:ポリシー=具体的ルール
👉 ⭕ ポリシーは抽象的な方針
(具体的なのは対策基準)
❌ 誤解②:基準と手順は同じ
👉 ⭕
- 基準=守るルール
- 手順=やり方
👉 SG試験の最頻出ひっかけ
❌ 誤解③:基本方針は変更しない
👉 ⭕ 環境変化に応じて見直す(PDCA)
❌ 誤解④:すべて公開する
👉 ⭕
- 基本方針:公開されることあり
- 基準・手順:非公開が基本
SG試験でのひっかけまとめ
- 「具体的すぎる」→基本方針ではない
- 「やり方が書いてある」→手順
- 「ルールだけ」→基準
- 「見直さない」→誤り
👉 “抽象度”で判断するのがコツ
まとめ(試験直前用)
- 情報セキュリティポリシー=3階層構造
- 基本方針(抽象)→対策基準(ルール)→実施手順(具体)
- ISMSの中で策定される重要文書
- 階層が混ざっている選択肢はNG
👉 SG試験では
「これはどの階層か?」で切る
🔗 関連記事
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 情報資産台帳とは?リスク管理の出発点を整理【情報セキュリティマネジメント】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証方式とは?3要素と多要素認証を整理【SG試験】