第3章. 政策

方針は、情報セキュリティの中でもあまり華やかでない分野の一つである。しかし、非常に有用であり、組織におけるセキュリティ改善活動の礎となる。この章では、ポリシーを作成することが良いアイデアである理由、ポリシーのコンテナ、使用する文言の選択について説明する。

なぜ政策が重要なのか？様々な理由がある：

一貫性

、明確な方針があることで、日によって、あるいはスタッフ間で、一貫性のないアプローチが行われる懸念が大幅に軽減されるはずだ。文書化された方針があれば、規則の一貫性のない適用につながりかねない判断の必要性を減らすことができる。

知識の分配

パスワードを他人と共有しないことに関して、ポリシーがどうなっているかを。ポリシー・ドキュメントは、他の人が消費するための情報を広めるものである。

期待をセットする

方針は規則をセットし、境界線を設定する。規則が明確に定義されていれば、誰かがその規則を破ったときにも同様に明確になる。これにより、適切な行動をとることができる。人事のような部署は、誰かが何か悪いことをした「ような気がする」ので、叱責するのが難しい。規則が明確に定義されていれば、違反の発見と対処が容易になる。

規制遵守と監査

多くの業界は、 、あるいは擬似的な規制を受けており、多くの業界には監査役がいる。ポリシーの存在は、ほぼすべての規制遵守や監査スキームに共通する基準である。一連の方針を持つことで、規制遵守や監査のチェックリストにすでにチェックを入れたことになる。

トーンをセットする

ポリシーセットは、企業のセキュリティ態勢のトーンを設定するために使用できる。セキュリティに対する組織の取り組みがポリシーに明示されていなくても、ポリシーによって全体的な雰囲気がわかる。

経営陣の承認

経営陣が承認したポリシーは、組織の公式文書ライブラリ（）内で公開され、ポリシーセット自体に信頼性を与え、ひいてはセキュリティチームにも信頼性を与える。

方針は生きた文書である。組織とともに成長し、組織の現状を反映すべきである。方針を変更することは嫌われるべきではなく、方針自体も関連文書も進化することは好ましいことである。ポリシーの年次レビューと承認プロセスを予定することで、ポリシーがビジネス・オブジェクトと現在の環境に沿ったものであることを確実にすることができる。