情報セキュリティポリシー

今日からちょっと情報セキュリティについて、書いていくことにします。
まず、情報セキュリティポリシーについてですが、大事なのは作ることではなく、それが守られる仕組みを作り、そして、実践・改善できるようにすることです。
企業の規模毎に体力が異なるのだから、できること／できないことを明確にはすべきであり、できないことについては、将来的な改善計画があって然るべきというスタンスに立てば、改善のサイクルは守れるはずです。と言っても、それができないのが人間だったりします。
では、どうすればいいのでしょうか？
実は答えは簡単で、トップが常にこれをケアすれば言いわけで、企業のトップこそセキュリティ意識を高く持ち、これを浸透させるという以外に手はないでしょう。
でも、コストの問題で対策が打てない！ということが最近では散見されるようですが、それが事実だとしても、企業のセキュリティ担当者任せではなく、一緒に考えるくらいの気持ちがなくては、と思います。
ポリシーとはもともとそういうもののはずなので・・・