6 セキュリティ方針の必要性の確認
セキュリティ管理は組織における危機管理の一部として認識されるべきである。
即ち、現時点で最大限予知・予想されるあらゆる場合の脅威(リスク)に対しての評価を行い、対策手順を施設や装備の充実や組織体制とともにこれも事前に確立しておくことである。
7 公共セキュリティ方針の策定過程
セキュリティ方針の確立とは、自組織に対するリスクについての自覚・分類から始まり、脅威を事前に問題を回避するための手順を定める段階を経て、問題が発生した場合の処理方法や連絡体制の確立、発生後の問題点の除去から方針の変更や手順の変更までの一連のサイクルの確立である(詳細は第4章第1節参照)。
(1)自組織の方針の制定手順
・「何を」守ろうとするのか
・「何から」守るのか
・どのように守るのか(手順の確立)
・守るためのコストと守るべき財産の価値との評価基準
・問題が発見(発生)した場合の継続的な改善
(2)守るべきネットワーク上の資産
・ハードウェア(PC、サーバ、ネットワーク機器)
・ソフトウェア(ソース・プログラム、オペレーティング・システム)
・データ(オンラインで処理中のもの、バックアップされたもの)
・人(ユーザ、管理者)
・文書(システムの仕様書、システム管理手順書)
・用品(紙、メモリー・デバイス、カード)
等のカテゴリーに分類することができる。
一方、脅威は
・認証されないメンバーによる資産へのアクセスや利用
・意図しない情報の漏洩や改ざん
・サービスを不能にする攻撃
等に分類されていく。
更にセキュリティ手順を具体的に考えるために、以下のような要素をも明確にしていく。