セキュリティポリシー
企業や組織の情報セキュリティ対策の方針をとりまとめたもの。インターネットの普及により、企業内情報への外部からのアクセスが容易になってきているため、そうした危険があることを前提として、新たな脅威への場当たり的な対策ではなく、対策を定めるための考え方や指針となるセキュリティポリシーが必要になっている。
セキュリティポリシーの対象は、企業が所有する情報のみでなく、その情報が流通するコンピュータやネットワーク、OSやアプリケーションまで含めた情報システム、そしてこれらの情報システムや情報に接する人間までが含まれる。セキュリティポリシーの策定に際しては、「何をどのような脅威からどう守るのか」を協議し、どのように運用していくかの方針決定が求められる。セキュリティを確保するために「重要なデータは国外のデータセンターに置かない」など、かなり具体的な内容まで決め込んでいるものが多い。
また、情報技術は常に進歩しているため、セキュリティポリシーの運用に際しては導入時のポリシーをそのまま継続していくのではなく、策定・導入・運用・評価/見直しという実施サイクル(PDCAサイクル)を継続的に回して定期的にアップデートしていく必要がある。