情報セキュリティポリシー（じょうほう-, information security policy）とは、企業などの組織における情報資産の情報セキュリティ対策について、総合的・体系的かつ具体的にとりまとめたもの。どのような情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方（JIS Q 27002 ではセキュリティ基本方針と呼ぶ）と、情報セキュリティを確保するための体制、組織および運用を含めた規程。情報セキュリティポリシーは、PDCAサイクルによって、評価・見直しをし、改善していく。省略して、単にセキュリティポリシーと呼ぶことも多い。次の3つのうち、1.と2.を併せて情報セキュリティポリシーという。情報セキュリティポリシーの具体的内容は、次のようなものである。情報セキュリティポリシーは、策定して終わるのではない。その内容を組織の情報セキュリティマネジメントシステム (ISMS) に導入し、実施し、評価・見直しをし、PDCAサイクルによって改善していく必要がある。情報セキュリティポリシーは、組織（企業）の情報セキュリティを確保することを目的とする。判断基準や、実施すべき対策などを明確にすることによって、組織構成員（社員）のセキュリティに対する意識を向上させる効果もある。外部に対しては、次の効果がある。セキュリティポリシーは、「制定している」・「もっている」だけではなく、実行しなければ意味がない。

出典:wikipedia