セキュリティポリシー（Security Policy）

セキュリティポリシーとは、ひとことで言えば、組織の情報セキュリティに対する方針・規則・期待される行動を定めた最上位の文書です。たとえば「すべての従業員は90日ごとにパスワードを変更すること」「機密データは暗号化して保存すること」といった規定が含まれます。セキュリティポリシーは経営層の承認のもとで策定され、スタンダード（基準）、プロシージャ（手順書）、ガイドライン（推奨事項）の上位に位置します。ポリシーが形骸化しないためには、違反時の懲戒措置の明記、全従業員への周知と同意取得、定期的な見直しが不可欠です。規制対応やコンプライアンスの基盤ともなるため、CISSP試験では「ポリシーは経営層が責任を負う」という原則が繰り返し問われます。