15863853
あっても形だけだから意味がないのでは?





確かに、形だけで運用している会社はあります。たとえば、他社のセキュリティポリシをそのまま流用しているとか。
 私は必要と考えます。当然、きちんとしたものを作成し、社員に浸透させたうえでの問題ですが。情報セキュリティポリシを策定することで、セキュリティを強化する。セキュリティポリシによって、セキュリティの基本方針が明確になり、情報資産の運用方法が具体的にわかる。人的セキュリティ対策の基本である。
例えば、基本方針を策定することで、社員の中でセキュリティに関する統一した意識が醸成されてセキュリティが強化されます。また、コストを抑えたセキュリティ対策が行えます。
 家庭での泥棒対策を例にすると、玄関の鍵の強化、監視カメラ、赤外線のセンサー、外部機関による警備の依頼など、たくさんの対策があります。すべてを実施してはお金がいくらあっても足りません。
 そこで、大切なものは金庫に入れて保管するという方針にすれば、金庫を購入し、常に金庫に保管するだけで済む場合があります。
それと、絶対に守らなくてはいけないものと、守った方がいいものを明確にすべきです。たとえば、お客様情報は絶対に守るべきものですが、会社の資料は守った方がいいですが、漏えいしても大きな問題にならない資料も山ほどあります。それらを同じレベルで管理すると大変です。はっきりいって、無駄。だから、ポリシーで何をどのレベルで守るかを決めるとよいでしょう。