2005年8月アーカイブ

【情報セキュリティ基本方針】

情報セキュリティに対する経営陣の考えや、従業員に対する行動の指針を表す文書。
ＩＳＭＳ認証基準においては本文第４に定められる。
（参考）
　本文
　第４　情報セキュリティマネジメントシステム
　２．ＩＳＭＳの確立及び運営管理
　（１）ＩＳＭＳの確立の中に�Aとして
　　 （ア）ＩＳＭＳの目標を設定するための枠組みを含み、情報セキュリティに関する全般的な
　　　　　　　　方向性及び行動指針を確立する。
　　 （イ）事業上の要求事項及び法的又は規制要求事項、並びに契約上のセキュリティ義務を
　　　　　　　　考慮する。
　　 （ウ）ＩＳＭＳを確立し、維持するために必要な戦略上の視点からみた組織環境、
　　　　　　　　並びにリスクマネジメントの構造を確立する。
　　（エ）リスクを評価するための基準を確立し、定義されたリスクアセスメントの構造を確立する。
　　 （オ）経営陣による承認を得る。
以上が要求事項となる。

【情報セキュリティポリシー】IT security policy

組織や情報システムにおける資産管理の方法を定めたルール。組織は、情報資産をいかに管理、保護、配布するかを取り決める。

【CA】Certification Authority

証明機関。認証局ともいう。公開鍵暗号方式を利用して、通信相手の秘密鍵で暗号化されたデータを相手の公開鍵で復号できれば、相手を認証できる。しかし、公開かぎ登録簿自体を改ざんしてしまえば、他人になりすますことが可能である。これを防止し、公開かぎの信頼性を確保するために、認証局（あるいはCAセンタ）と呼ばれる信頼できる第三者機関が、本人を確認し、その公開かぎの正当性を証明する。

審査の種類のひとつ

情報

経営陣へのレビュー

組織の情報セキュリティに対する基本的な方針

ISMSとは情報セキュリティの、個別の問題毎の技術対策の他に、組織として情報セキュリティを管理するため、セキュリティレベルやプランを作成し、資源配分して、組織自らが作成した情報を守る仕組み（システム）を運用することである。