第4章. 基準と手続き

時間の経過とともに、組織は大量の文書を蓄積することになる。これを、図4-1に示すような階層に整理することが役に立つ。標準と手順は、方針をサポートし、方針（）に命を吹き込む2つの文書セットである。この章では、標準と手順とは何か、標準と手順がポリシーとどのように関係し、標準と手順が何をコンテ ナントすべきかについて説明する。

図4-1. 文書階層

、組織の方針を達成しようとする "理由 "だとすれば、標準と手順は "何 "と "どのように "を形成する。方針と同様、標準と手順は、以下のような多くの利点をもたらす：

一貫性

技術レベルでのポリシーの実装（）のニュアンスに関する心配は、一貫性が適用されれば取り除かれる。文書化された一連の標準と手順を持つことで、ポリシーに概説された規則が組織全体に等しく適用されることが保証される。

知識の分配

前章（）で述べたように、あなたが自分の方針を実際に実装する方法を知っているのは良いことだが、組織内の他の人々がそれを知らなければ、あまり利点は得られない。規格や手順書は、このような情報を他者に広めるものである。組織はしばしば、制度的な知識またはレガシーな知識に頼るという間違いを犯しがちだが、こうした知識は、時間が経つにつれて、現在の従業員に効果的に伝えることがほとんど不可能になることがある。当初の意思決定者は、会社を去ったり、役割を変えたりしているかもしれないし、詳細を覚えていなかったり、質問に答える時間がなかったりするかもしれない。

期待をセットする

方針は規則と境界線をセットする。しかし、常に同じ方法で一貫してその目標を達成するために必要な詳細までは提供しない。標準と手順は、目的と概要を含めることでこれを実現する。(これらの要素やその他の要素については、次のセクションで説明する）。

規制遵守

第3章で述べたように、多くの業界は規制されているか、擬似的な規制を受けており、規制遵守のスキームは、ほとんど普遍的にポリシーの存在を必要とする。さらに、一般的に、ポリシーに付随する標準と手順の存在も要求される。つまり、標準と手順のセットを持つことで、規制遵守チェックリストの2つ目のボックスにチェックを入れることができるのである。

経営陣の承認

経営陣が承認した標準と手順のセットがあれば、方針と同様、文書セット自体にも、ひいてはセキュ リティチームにも信頼性がもたらされる。

規格

標準は、技術的観点からポリシーの「どのように」の部分を提供するものであり、具体的な 手続きの詳細（）は含まれない。例えば、多くの方針声明には、パスワードの使用によってアクセスを認証するという要 件が含まれている。このポリシー文には、パスワードの構成要素についてより詳細な情報を提供する基準 を添付すべきである。例えば、複雑さの要件、パスワードの変更プロセス、保管要件、パスワードの再利用の可否などのトピックが含まれる可能性が高い。

この詳細を別の文書に分けること（そして、次のセクションで説明する手順をさらに分けること）で、いくつかの利点が得られる。例えば、以下のようなことである： ...