分野：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ管理

情報セキュリティ方針は、組織の経営者(トップマネジメント)が最終的な責任者となり「組織が情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業・組織がとるべき行動を社内外に宣言する文書です。情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方と、情報セキュリティを確保するための体制、組織および運用などが包括的に規定されます。

• 業種ごとのひな形を利用しても問題ありませんが、組織独自の部分についてはそれぞれの業務に適合する内容に修正しなければなりません。
• 情報セキュリティ方針は、情報セキュリティに対する組織的枠組みを示すものなので、具体的な規則や手順・マニュアルなどは含みません。それらは対策基準または実施基準に定められます。
• 正しい。情報セキュリティ方針はトップマネジメント(経営層)により確立されます。JIS Q 27001では、情報セキュリティ方針への経営層の関与について、「トップマネジメントは，次の事項を満たす情報セキュリティ方針を確立しなければならない」と定めています。
• 情報セキュリティ方針はシステムや部門ごとに制定されるものではなく、組織全体として目標とするレベルを定めたものです。