【2002年 OECD 情報システム及びネットワークのセキュリティのためのガイドライン:セキュリティ文化の普及に向けて】
情報を組織の重要な資産と位置づけ、有効な活用を図るために一人ひとりの情報セキュリティに対する自覚と貢献および情報セキュリティマネジメントの推進を提唱した。
ここでは、規格3.7において情報セキュリティマネジメントシステムを次のように定義している。
『情報セキュリティマネジメントシステム』とは、マネジメントシステム全体の中で事業リスクに対する取組み方に基づいて情報セキュリティの確立・導入・運用・レビュー・維持及び改善を担う部分である。
また、JIS Q27001 では下記の注記がある。
「マネジメントシステムには組織の構造、方針、計画作成活動、責任、実践、手順、プロセス及び経営資源が含まれている。」
(OECDの原則)
1.認識(Awareness) :参加者は情報システム及びネットワークのセキュリティの必要性並びにセキュリティを強化するために自分たちにできることについて認識するべきである。
2.責任(Responsibility) :すべての参加者は情報システム及びネットワークのセキュリティに責任を負う。
3.対応(Response) :参加者はセキュリティの事件に対する予防・検出および対応のために時宣を得たかつ協力的な方法で行動すべきである。
4.倫理(Ethics) :参加者は他者の正当な利益を尊重すべきである。
5.民主主義(Democracy) :情報システム及びネットワークのセキュリティのは民主主義社会の本質的な価値に適合すべきである。
6.リスクアセスメント(Risk assessment):参加者はリスクアセスメントを行うべきである。
7.セキュリティの設計及び実装(Security design and implementation):参加者は情報システム及びネットワークの本質的な要素と してセキュリティを組み込むべきである。
8.セキュリティマネジメント(Security manegiment):参加者はセキュリティマネジメントへの包括的アプローチを採用すべきである。