企業などの組織のセキュリティに関する基本方針の事を「セキュリティポリシー」といい、その中でも特に、
情報資産を安全に運用するためのものを「情報セキュリティポリシー」といいます。
ネットワークセキュリティにおいて、企業が守るべきもっとも重要なものが、「顧客の情報」、「社員の個人情報」、「新製品の設計図」などの、「情報」なのです。
この「情報」=企業の「資産」であることが、日本の会社には根付いていない場合が多いため、この考えを重視していく必要があります。
一般的に、「セキュリティ」という場合、ネットワーク上のデータを保護するという考えになりがちですが、
企業の「情報」とは、電子的なものに限りません。印刷した紙や、メモ帳、新製品の試作品など、さまざまな形態のものがあるのです。
企業のセキュリティ対策といえば、数年前までは、ウイルス対策ソフトやファイアウォールなどを導入するというものでした。しかし、近年起きている情報漏えい事件などを見ると、企業の情報漏えいは、ウイルスなどの外的要因よりも、社内のユーザーの認識不足や、内部の人間の犯行により情報が持ち出されるということのほうが多くなっています。そうした「情報」を守るための対策やルールなどをまとめたものを「情報セキュリティポリシー」というのです。