企業になぜ、セキュリティポリシーが必要なのだろうか? 最初にこの点をあらためて確認しておこう。 まず情報漏えいについて考えてみる。情報漏えいには、社内情報が外部に流出してしまうこと以外にも問題が2つある。1つは、外部に漏えいした原因が分からないこと、そしてもう1つは、漏えい後の対処ができないことである。 情報漏えいの原因が分からない理由の1つに、あらかじめ明確なセキュリティポリシーがなかったことが考えられる。そもそもセキュリティポリシーは、ポリシーが守られていれば情報漏えいが起きないことを前提として作成されている。セキュリティポリシーがあれば、ポリシーに違反したものを探すことで原因を追究することができるからだ。また情報漏えいに対処できないということは、その事態が想定外の出来事である可能性が高い。 図1●セキュリティポリシーをつくり、事故の発生に備えることはリスク管理につながる セキュリティ
