PDCAサイクルの、P:Plan(計画)は、情報セキュリティマネジメントを確立するための計画段階にあたり、その代表が情報セキュリティポリシーの策定です。(1)組織・体制を確立し、(2)基本方針を策定し、(3)守るべき情報資産を把握、分類し、(4)その情報資産のリスクアセスメントを行い、それにより自身の情報セキュリティにおける脅威と脆弱性とリスクを見極め、(5)それに応じた導入対策(管理策)を取捨選択し、(6)対策基準を策定し、(7)対策基準の周知徹底を行なうとともに、(8)実施手順を策定します。 情報セキュリティポリシーの策定の流れ 情報セキュリティポリシーの文書構成 情報セキュリティポリシーの文書構成は、特に決まりはありませんが、「情報セキュリティ基本方針」「情報セキュリティ対策基準」「情報セキュリティ実施手順」の3 階層の文書構成をとるのが一般的です。 基本方針で定められた内容が、対策