目的と範囲
ポリシーの目的と、その適用範囲を明確に定義します。どの情報資産が対象か、どのような脅威から保護するかを示します。
情報セキュリティ管理体制
セキュリティの責任者と役割を明確にし、情報セキュリティ管理の組織構造を説明します。
リスク管理
情報セキュリティリスクの識別、評価、対処に関するプロセスを定義します。定期的なリスクアセスメントとレビューの手順も含めます。
アクセス制御
資産へのアクセスを制御するポリシーと手順を定めます。認証と認可の基準、アクセス権の付与と剥奪のプロセスを規定します。
物理的および環境的セキュリティ
物理的なセキュリティ対策と環境保護措置を規定します。データセンター、サーバールーム、文書保管エリアへのアクセス制御や、災害対策について説明します。
通信と運用の管理
システムとネットワークの運用ポリシーを設定します。パッチ管理、バックアップ、ログの管理など、日常の運用手順を含めます。
インシデント管理
セキュリティ違反やインシデントが発生した際の対応プロセスを規定します。報告ルート、対応手順、事後分析のプロセスを含めることが重要です。
事業継続計画(BCP)
災害や重大なインシデントから事業を継続するための計画を含めます。リカバリ戦略、重要な業務の優先順位付け、リカバリポイントオブジェクティブ(RPO)、リカバリタイムオブジェクティブ(RTO)などを定めます。
コンプライアンス
適用される法律、規制、業界基準への準拠を保証するポリシーを定めます。
教育と意識向上
従業員に対するセキュリティ教育と意識向上のためのプログラムを定義します。定期的なトレーニングと評価を行います。