業務を継続的・安定的に行う上で、情報資産が保護され、適切な時に利用可能で、正確かつ法令に則っていることはビジネス上の重要な要件です。
情報資産とは、情報と情報システムならびにそれらが正当に保護され使用され機能するために必要な要件の総称であり、ハードウェア・ソフトウェア、ネットワーク、各種データファイルのみならず、システム開発・運用のために必要な要員やドキュメント、業務上知り得た顧客情報等をも含むものです。
これらは重要な資産であり、これらの正当性・信頼性が失われると大きな損害を被る可能性が大です。
従って、さまざまな脅威（故障、災害、誤処理、不正使用、破壊、盗難、漏洩等）による被害から情報資産を保護するために必要な対策を行うことが必要です。
これらを踏まえて基本方針を明確にし、次の事項などについて明確にする必要があります。
・体制および規則の整備　・経営者による確認および継続的改善
・法令および情報セキュリティ方針の遵守
・教育　　　　　　　　　　・危険行為の禁止　・違反の検知と抑制
・情報資産の保護　　　・情報資産へのアクセス
・情報資産のオーナーとしての責任　　　・情報資産の機密区分
・通信　　　　　　　　　　・安全対策基準の策定
・外部委託　など
マキ　コーポレーション　「個人情報保護対策」より