🔰 Phase1：基礎理解（Day6）｜情報セキュリティポリシーとは何か？企業統治との関係｜📘 30日間連続講座｜情報セキュリティマネジメント合格ロードマップ

1. セキュリティは「技術」ではなく「方針」から始まる

ここまでで、

• CIA
• 情報資産
• リスク構造
• 対策の分類

を学びました。

しかし重要な問いがあります。

誰が、どの方針で守るのか？

これを定めるのが 情報セキュリティポリシー です。

---

2. 情報セキュリティポリシーとは何か？

定義：

組織が情報資産をどのような方針で守るかを明文化したもの

つまり、

セキュリティの「憲法」のようなものです。

技術よりも上位概念です。

---

3. なぜポリシーが必要なのか？

ポリシーがないと、

• 部門ごとに対応がバラバラ
• 判断基準が曖昧
• 責任の所在が不明確
• インシデント対応が遅れる

セキュリティは“個人の努力”ではなく、

組織の統制

これが本質です。

---

4. 情報セキュリティポリシーの3階層

試験頻出ポイントです。

① 基本方針（トップ宣言）

• 経営層が定める
• 組織の方向性
• セキュリティへの姿勢

例：
「当社は情報資産を重要な経営資源と位置付け、適切に管理する」

---

② 対策基準（ルール）

• 実施すべき基準を定める
• アクセス管理基準
• パスワード基準
• クラウド利用基準

---

③ 実施手順（マニュアル）

• 具体的な手順
• 設定方法
• 報告フロー

---

構造はこうなります。

経営方針
　↓
管理基準
　↓
実務手順

この階層構造は必ず理解してください。

---

5. なぜ経営が関与するのか？

情報セキュリティは単なるIT問題ではありません。

• 顧客信頼
• 株価
• ブランド価値
• 事業継続

に直結します。

つまり、

セキュリティは経営課題

これを企業統治（コーポレートガバナンス）と言います。

---

6. 企業統治との関係

企業統治とは、

組織を適切に管理し、持続的に成長させる仕組み

情報セキュリティポリシーはその一部です。

なぜなら、

• 不正を防ぐ
• リスクを管理する
• 透明性を確保する

これらはガバナンスの中核だからです。

---

7. 試験で問われるポイント

✔ ポリシーの目的
✔ 3階層の違い
✔ 経営層の役割
✔ PDCAとの関係

よくある問題：

「基本方針を策定するのは誰か？」

→ 経営層

「実施手順に該当するものはどれか？」

→ 具体的な作業内容

分類問題が頻出です。

---

8. ポリシーは作って終わりではない

重要なのは、

継続的改善（PDCA）

Plan：方針策定
Do：実施
Check：監査
Act：改善

この循環がなければ意味がありません。

これがISMSにつながります。

---

9. 実務でよくある誤解

× IT部門だけの仕事
× 文書を作れば終わり
× 形式的なルール

本質は、

「組織の行動を統一すること」

ここまで理解できれば、試験の応用問題は解けます。

---

10. 今日のアウトプット課題

書いてみてください。

1. 情報セキュリティポリシーの3階層を説明できるか
2. なぜ経営が関与する必要があるのか
3. 自社に明文化された基本方針はあるか

言語化できれば理解は定着しています。

---

11. 今日のまとめ

✔ ポリシーはセキュリティの最上位方針
✔ 3階層構造を理解する
✔ 経営が関与する理由を説明できる
✔ PDCAで回すことが重要

明日は、

Day7｜なぜ内部不正は起きるのか？動機・機会・正当化モデル

人間心理の構造に踏み込みます。

---