dcf52feb
3階層って面倒です。
対策基準と実施手順を分ける必要があるのでしょうか。
一緒にしてしまっては?



部分的にほぼ同じような内容になることもある。
では、なぜ法律と条例が分かれているかを考えよう。条例は各地方自治体で策定するもの。それは、地方によって置かれている環境が異なるからです。例えば滋賀県は琵琶湖に関する条例があり、ゴミや花火などの取り決めがある。パスワードのルールにしても、外部からのリモートアクセスと内部のシステムでは、パスワードの条件が変わる。つまり、組織やシステムによって異なるものであるから、各システムや組織ごとに分けざるをえない。
15863853
いやいや、
全システム、全組織の内容を
一つの対策基準に書いたらいいじゃないですか。



はい。それでも良い。でも組織やシステムが例えば100個あったら、100パターンが掲載される。
見にくい。
セキュリティポリシーと呼ばれる基本方針と対策基準、そして自部署に関係のある実施手順があれば分かりやすい。全国全ての条例が載った法律なんて、見にくいとしか考えられない。
8412ebbb
では、全組織で共通のことであれば、対策基準に全て書いても良いですか?先ほどのパスワードのルールなど。




別に構わないし、企業で判断すれば良い。
ただ、実施手順のレベルの細かい内容を対策基準に書くのはお勧めしない。運用しにくいからだ。定められた法律は守らなくてはいけない。同じように「対策基準」も守らなくてはいけない。例えばある部署で最新型の指紋認証システムを入れたとし、その時入力するパスワードは6桁までしか入力できないとする。パスワードの桁数は少なくなっても、指紋認証するからセキュリティレベルは上がっている。ところが「対策基準」に「パスワードを設定すること」だけでなく「英数8文字以上のパスワードにすること」などと細かく定められた場合、これに違反する。ということは、全国の全てのシステム管理者を集めて、「対策基準」を改訂しないといけない。また改訂内容も「ただし指紋認証と併用する場合は6文字以上で良い」などの細かな内容を付け加えることになり、グチャグチャになります。
ということで、対策基準と実施手順は分けた方が良いだろう。