会社の情報資産を「保護する考え方」や「取り組み方」を明文化したものを
情報セキュリティポリシーと呼びます。
つまりポリシー策定は、このドキュメント(文書)を定めることです。
具体的な策定手法は、後述します。
一般にセキュリティ対策は、利便性を低させます。
よって、実行力を持たせなさいと、対策の運用は難しくなりがちです。
必要に応じて、罰則規定を持たせるとよいでしょう。
得に次のような効果が得られます。
●内部犯行の抑止
ルールの明文化により、個々の社員のルールに反する危険な行動を規制できます。
(メールやWeb閲覧の監視していることを知らせるだけでも効果があります)
●情報漏洩危険性の抑止
漏洩のパターンは、書類、ネットワーク、USB経由と
社外に持ち出せるルート(route:経路)がさまざまです。
・Webメールによる送信など、社外管理メールボックスへの転送
・掲示板などへの書き込み
上記列挙は、監視ソフトの導入である程度規制できますが、
暗号化による送出データまで監視するのは困難でしょう。
結局は個々人のモラル向上が一番大切なことと言えます。
そして、行っては行けないルールを会社組織全体で取り組む姿勢必要です。