セキュリティ方針を明文化したものは通常、地方公共団体における条例等の下に位置づけられることが多く、基本理念や対象となるものの定義や保護にかかわる基本的事項を整理し、平易な文で記述された文書となることが望ましい。
このセキュリティ方針書の下に、セキュリティ基準などにかかわる項目が分類・整理され、また基準関連文書に添って各種規程や手順書などが作成されることになる。
ここに、ある団体のセキュリティ方針書の例を示す。
A市のセキュリティ方針書の例(1)
第1編 基本的理念
第1章 総則
(目的)
1条 この規程は、市に損害を与える可能性があると危惧される事項から情報資産を保護し、あわせて業務を継続的に安全に行うことで、市民の福祉の向上に寄与することを目的とする。
(範囲)
2条 この規程の適用範囲は、市の職員及び市の業務とする。
第2章 職員の責務
(情報資産の定義)
3条 情報資産とは、市が保護管理する情報と、その情報を取扱うための情報システムとする。
2 情報とは、個人情報保護条例に規定された情報をいう。
3 情報システムとは、次のとおりとする。
(1)情報を処理するプログラム及び設計書
(2)システムを構成するハードウェア及びソフトウェア
(3)前各号に掲げるもののほか、業務を行うためのシステム全般
(内部で開発されたもの、外部で開発されたものを含む)
(情報資産に関する法令の遵守)
4条 職員は、情報資産の取扱いに際し、情報資産に関する法令を遵守しなければならない。
(規程の遵守)
5条 職員は、この規程を遵守しなければならない。
