情報セキュリティポリシーじょうほうせきゅりてぃぽりしー

情報じょうほうセキュリティポリシーは、組織そしきが情報じょうほうセキュリティをどう実施じっしするかを文書ぶんしょ化かした、方針ほうしん・基準きじゅん・手順てじゅんの集あつまりです。一般いっぱんに 3 階層かいそうで構成こうせいされます。

階層かいそう	内容ないよう	抽象ちゅうしょう度ど
基本きほん方針ほうしん（Policy）	何なにを守まもるか・経営けいえい層そうの宣言せんげん	高たかい
対策たいさく基準きじゅん（Standards）	守まもるべき具体ぐたい的てきルール	中なか
実施じっし手順てじゅん（Procedures）	実際じっさいの作業さぎょう手順てじゅん	低ひくい（具体ぐたい的てき）

たとえば「情報じょうほう資産しさんを守まもる」という基本きほん方針ほうしんの下したに、「パスワードは 12 文字もじ以上いじょう」という基準きじゅん、「設定せってい変更へんこうの手順てじゅん書しょ」という具体ぐたい的てき手順てじゅんがぶら下さがります。経営けいえい層そうが承認しょうにんし、全ぜん従業じゅうぎょう員いんが守まもるべきルールです。

試験しけんでは 情報じょうほうセキュリティポリシーが「基本きほん方針ほうしん→対策たいさく基準きじゅん→実施じっし手順てじゅんの 3 階層かいそう」で構成こうせいされ、ISMS の中核ちゅうかく成果せいか物ぶつである点てんが問とわれます。