情報セキュリティポリシー(Information Security policy)
情報セキュリティポリシーとは、
企業などの組織のセキュリティに関する基本方針の事を「セキュリティポリシー」といい、
その中でも特に、情報資産を安全に運用するためのものを「情報セキュリティポリシー」といいます。
ネットワークセキュリティにおいて、企業が守るべきもっとも重要なものが、
「顧客の情報」、「社員の個人情報」、「新製品の設計図」などの、「情報」なのです。
この「情報」=企業の「資産」であることが、日本の会社には根付いていない場合が多いため、
この考えを重視していく必要があります。
一般的に、「セキュリティ」という場合、ネットワーク上のデータを保護するという考えになりがちですが、
企業の「情報」とは、電子的なものに限りません。
印刷した紙や、メモ帳、新製品の試作品など、さまざまな形態のものがあるのです。
企業のセキュリティ対策といえば、数年前までは、ウイルス対策ソフトやファイアウォール
などを導入するというものでした。
しかし、近年起きている情報漏えい事件などを見ると、企業の情報漏えいは、ウイルスなどの
外的要因よりも、社内のユーザーの認識不足や、内部の人間の犯行により情報が持ち出される
ということのほうが多くなっています。
そうした「情報」を守るための対策やルールなどをまとめたものを「情報セキュリティポリシー」というのです。
