お仕事で、某方のセキュリティポリシー策定のため、今回のベースとなるJNSAのサンプルポリシー(Ver0.92a)を上司と一緒に読み合わせました……が疲れた。
無償で利用可能な数少ないサンプルポリシーなんですが、読んでみると「ああ、如何にも技術者が作ったドキュメントだな」と感じられる部分が数多くありますね。
あ、言っておきますが、全体としては流石に良い出来ですよ。以前某社の(自動生成された)テンプレートを読んだんですが、それに比べれば遥かに良いです。ただ、そのまま使うには技術寄りの記述が多いので、手を大幅に加える必要がありますけれどね。
無償で利用可能な数少ないサンプルポリシーなんですが、読んでみると「ああ、如何にも技術者が作ったドキュメントだな」と感じられる部分が数多くありますね。
- 項目が積み上げ方で書かれている……「あれも必要だ、これも必要だ」というノリで書かれているのかな?、結構「何の意図でこの部分を書いたんだろう?」と上司と一緒に悩むケースがありました(勿論N+I Network Guideに掲載されていた解説記事を読んだ上でですよ)。
- 要求しているセキュリティレベルがドキュメント毎に異なっていてバランスが取れていないように見受けられました。特に爆笑したのは「ユーザ認証標準」のパスワード管理に関して。それまでの他スタンダードでは結構厳しめのノリで書かれていたのに、ココだけ結構ユーザ寄り(可用性寄り)に記述されていたので、「あ、書いた人変わったな」とハッキリ分かりましたし。
あ、言っておきますが、全体としては流石に良い出来ですよ。以前某社の(自動生成された)テンプレートを読んだんですが、それに比べれば遥かに良いです。ただ、そのまま使うには技術寄りの記述が多いので、手を大幅に加える必要がありますけれどね。