よく参照される管理策集は、ISO/IEC27002：2013*1)という国際標準です。
2000年に初めて国際標準化（ISO/IEC17799：2000）され2005年及び2013年に改訂されたこの規格は、JIS化されて「情報技術－セキュリティ技術－情報セキュリティマネジメントの実践のための規範（JIS Q 27002：2014）」として発行されています。この規格は、情報セキュリティ対策を行う際の実践規範を記したものであり、ベストプラクティスとして様々な管理策が記載されています。
組織は、これらの管理策から自社にあったものを適宜、取捨選択できます。

		不正利用（なりすまし）	不正アクセス（不正侵入）	ウイルス（検疫・駆除）	改ざん（書き換え）	盗聴	情報漏洩	サービス妨害
人的・組織的	セキュリティ全般	情報セキュリティポリシー（リスク分析・セキュリティ基本方針・対策基準・実施手順）
		対策ベンチマーク/情報セキュリティマネジメントシステム（ISMS）の導入/情報漏洩防止強化対策
		セキュリティ診断/侵入テスト/監査（内部・外部）/教育
技術的	ネットワーク・セキュリティ	侵入検知システム（IDS）/侵入防止システム（IPS）				通信暗号化（IPsec/IP-VPN）		DoS/DDoS対応（フィルタリング）
		ファイアウォール（パケット・フィルタリング）
		デジタル署名	アクセス制御/デバイス認証			WLAN（認証・暗号化）		Fake AP
	クライアント・セキュリティ	セキュリティ・パッチ/フィッシング対応/URLフィルタリング
		個人認証	パーソナルファイアウォール	ウイルス駆除	ファイル暗号化	スパイウェア/アドウェア対応		smtpメール対策
		PC認証				メディア管理/プリンタ制御
		検疫ネットワーク/シン・クライアント化/シン・クライアントの導入
	サーバ・セキュリティ	ユーザー認証		アクセス制御/権限管理			バックアップ	負荷分散
		セキュリティ・パッチ（適用・更新）・セキュアなWeb開発				ログ管理	メールスキャン	DoS/DDoS対応（NDS、パケット制御）
		Trusted OS/Secure OS		ウイルス駆除	改ざん検知・防止		DBMS暗号化
物理的・環境的	セキュアな環境・施設・オフィス	セキュア・ゾーニング、セキュア・オフィス・施設・設備・什器（入退出管理、監視カメラ、バイオメトリクス認証/盗難・紛失防止備品）

*1）情報セキュリティの国際標準ISO/IEC27002は、情報セキュリティマネジメントの導入、実施、維持及び改善に関するベストプラクティスをまとめた規格です。
当初、ISO/IEC17799として発行されましたが、2007年7月に規格番号が27002へ改番されました。国内規格としては、2006年5月にJIS Q 27002「情報技術－セキュリティ技術－情報セキュリティマネジメントの実践のための規範」が制定されています。さらに、2013年には、ISO/IEC 27002：2013（JIS Q 27002：2014）に改訂され、マネジメントシステムの共通化、構成の変更、IT環境の変化等に伴う管理策の新規追加、削除、統合など、大幅な変更が加えられました。

管理策の分類

対策基準に規定する管理策は、「物理的セキュリティ」「技術的セキュリティ」「人的セキュリティ」に大別されます。

「物理的セキュリティ」とは、建物や設備などを対象とした物理的な管理策を指します。
具体的には、電源設備、回線設備、入退室管理設備などの設備のセキュリティが相当します。物理的セキュリティにより、建物などへの不審人物の侵入を防止し、災害や設備の障害などの被害を最小限にとどめることで、重要な情報資産を保護します。

「技術的セキュリティ」とは、情報システムやネットワークにおける技術的な管理策のことです。
具体的には、アクセス制御、認証、暗号化、ファイアウォール、ウイルス対策などが該当します。

「人的セキュリティ」とは、組織や情報システムの人的な運用管理面における管理策全般を指します。
具体的には、情報セキュリティポリシーの策定・運用・監査・見直し、ポリシー違反の懲戒手続き、教育・訓練、セキュリティ事件・事故及び誤動作への対処、機密保持契約などが該当します。

物理的セキュリティ対策、技術的セキュリティ対策、人的セキュリティ対策の具体例を次項から見てみましょう（参考文献：地方公共団体における情報セキュリティポリシーに関するガイドライン　総務省）。

物理的セキュリティ

情報システム室（管理区域）の管理

情報システム室は、重要な情報資産が大量に保存されており、特に厳格に管理します。

管理区域の入退室管理

情報システム室は、入室できる範囲を検討し、入室できる者は許可された者のみに制限します。また、外部からの訪問者が管理区域に入室する場合、社員が付き添うとともに、訪問者であることを明示したネームプレートを着用させるなど、外見上訪問者であることが分かるようにします。
また、情報漏えいなどを回避するため、不要な電子計算機、モバイル端末、記録媒体、携帯電話やスマートフォンなどを持ち込ませないことが重要です。

その他、情報システム室の管理では、以下の物理的管理策などが挙げられます。

管理区域内には精密機器が多いため、火災、水害、埃、振動、温度、湿度などの対策
不正な者の入室を防止するために、施錠や監視カメラや認証機能などの活用

サーバーの管理

サーバーなどのハードウェアは管理が不十分な場合、情報システム全体に悪影響が及び、業務の継続性に支障が生じるおそれがあります。

サーバーの二重化（冗長化）

サーバーなどの機器が緊急停止した場合に、業務を継続できるようにするためには、バックアップシステムの設置が有効です。
しかし、ハードウェアやソフトウェアが二重に必要となるほか、運用面でデータの同期化などが必要となり、多額の費用を要するので、これらの費用とサーバーの緊急停止による損失の可能性を検討した上で、二重化を行うか否かを判断します。

その他の物理的対策例

温度、湿度などに敏感であることから、室内環境を整備
何らかの要因で電力供給が途絶し機器が緊急停止した場合の、予備電源の設置
通信ケーブルなどの損傷を防ぐために、配線収納管の利用
情報システムの安定的な運営のために、機器の定期保守及び修理

パソコンや電磁的記録媒体の管理

盗難対策

執務室などからパソコン、モバイル端末及び電磁的記録媒体などが盗難され、情報が漏えいする事例は多く、盗難を防止するための物理的措置が必要です。
また、盗難に遭った場合でも、パスワードの設定や情報の暗号化などの技術的なセキュリティ対策を行っていれば、情報が不正使用されるのを減らすことができます。特に、パソコン起動時のパスワード設定が、有効な情報漏えい対策になります。

パソコンや電磁的記録媒体の盗難対策では、以下の対策などが挙げられます。

盗難防止のため、執務室などで利用するパソコンをワイヤーで固定し、モバイル端末を使用時以外は施錠保管する。
パソコンの不正利用を防御するために、ログインパスワード（OS やソフトウェアにログインする際に使用するパスワード）やBIOSパスワード（電源起動時のパスワードでOS が起動する前に入力）を活用する。
しかし、これらのパスワードだけでは、ハードディスクが外され別のコンピューターに接続されてしまうとデータが読みだされてしまうので、その対策としてハードディスクそのものにロックをかけるハードディスクパスワード（電源起動時のパスワード）を活用する。
セキュリティ強化のために、パスワード機能に加えて、指紋認証やIC カードを併用する。
モバイル端末が紛失や盗難に遭った際は、遠隔消去（リモートワイプ）や自己消去機能により、モバイル端末内のデータを消去する。

機器の廃棄等

サーバーやパソコンが不要になった場合やリース返却などを行う場合には、ハードディスクから情報を消去します。
OSの機能による初期化だけでは、再度復元される可能性があるため、データ消去ソフトウェアの利用や物理的または磁気的に破壊するなどの方法を用いて、全ての情報を復元が困難な状態にし、情報漏えいを防ぎます。