分野：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ管理

情報セキュリティ方針は、組織の経営者が「情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標とその目標を達成するために企業がとるべき行動を社内外に宣言する文書です。情報セキュリティの定義、目的、原則、管理の対象範囲、責任の割当て、組織体制などが記述されます。策定した情報セキュリティ方針は、有効性・妥当性を維持するために定期的な改善をすること、組織が一丸となって情報セキュリティに取り組むため全ての従業員に周知することが求められます。

• 情報セキュリティ監査基準は、情報セキュリティ監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範です。
• 情報セキュリティ実施手順は、情報セキュリティ対策基準で定めた規定を実施する際に、実際にどのような方法で情報セキュリティを確保するかについてを示す文書です。詳細な管理手順が記述されます。
• 情報セキュリティ対策基準は、情報セキュリティ方針の目的を達成するために、組織が守るべきルールを示す文書です。企業の構成員が守るべき「規程類」に相当します。
• 正しい。情報セキュリティ方針は、情報セキュリティマネジメントに関する組織の基本原則を記述した文書です。