3-3-4. 情報セキュリティ基本方針
経営者が策定した情報セキュリティに関する基本方針を、従業員や関係者に伝達するために、簡潔な文書を作成する必要があります。基本方針の作成には、特定の書き方が定められているわけではありません。そのため、事業の特徴や顧客の期待などを考慮し、経営者と連携しながら、自社に適した基本方針を策定します。
基本方針は従業員の指針となり、関係者に対して取組を明示するためのものです。したがって、作成した文書は従業員や顧客などの関係者に周知する必要があります。
情報セキュリティ基本方針(サンプル)
株式会社○○○○(以下、当社)は、お客様からお預かりした/当社の/情報資産を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応えるべく、以下の方針に基づき全社で情報セキュリティに取組ます。
1.経営者の責任
当社は、経営者主導で組織的かつ継続的に情報セキュリティの改善・向上に努めます。
2.社内体制の整備
当社は、情報セキュリティの維持および改善のために組織を設置し、情報セキュリティ対策を社内の正式な規則として定めます。
3.従業員の取組
当社の従業員は、情報セキュリティのために必要とされる知識、技術を習得し、情報セキュリティへの取組を確かなものにします。
4.法令および契約上の要求事項の遵守
当社は、情報セキュリティに関わる法令、規制、規範、契約上の義務を遵守するとともに、お客様の期待に応えます。
5.違反および事故への対応
当社は、情報セキュリティに関わる法令違反、契約違反および事故が発生した場合には適切に対処し、再発防止に努めます。
制定日:20○○年○月○日
株式会社○○○○
代表取締役社長 ○○○○
(出典) IPA「情報セキュリティ基本方針(サンプル)」を基に作成
情報セキュリティ基本方針の記載項目例
管理体制の整備 / 法令・ガイドラインなどの遵守 / セキュリティ対策の実施 / 継続的改善 など