ノート:情報セキュリティポリシー

初版投稿者のGoatidです。この記事には多数の不明瞭な点、事実と相違している点が、数多くあるかもしれません。この項目についての知識に長けている方はご協力お願いします。--Goatid 2004年10月21日 (木) 12:44 (UTC)[返信]

初版作成お疲れ様です。２点コメント?致します。

• セキュリティポリシーは、「企業」だけではなく、政府や自治体、学校などでも定めることがあると思いますので「企業における」よりは「組織(体)における」のような表現のほうが良いと思いました。
• セキュリティポリシーは、情報の管理をまとめたもの、というよりは、組織にとって実現したいセキュリティ目標を定めたら、情報管理が選ばれた・・・という気がします（セキュリティポリシーって「情報セキュリティポリシー」の情報を省略したものという意味でしたら「情報の取扱について方針を定めたもの」という意味で、情報の管理をまとめたものでよいと思いますが）

詳しくは知らないので直接編集しないでノートに書きました。Sina 2004年10月21日 (木) 16:52 (UTC)[返信]

Kazovさん、ご苦労様です。 2008年6月4日 (水) 17:47 時点の編集に対して特に異論はありません。まあ、本当は「情報」だけじゃないと思ってはいるんですが、ただ世間一般には「情報」についてと思われていますので、短い説明の範囲ではそれでも良いかと思います。--Ktmchi 2008年6月4日 (水) 15:49 (UTC)[返信]

ご意見ありがとうございます。私も本当は情報に限らないと思っています。ところが、広義の「セキュリティポリシー」について書こうとすると、行き詰ってしまいました。出典がなく、書けるような内容がないのです。2004年からあまり更新されていないのも、そのせいだったのではないでしょうか。「情報セキュリティポリシー」なら、いろいろと出典があるので、これに絞って書いたほうが書きやすいと思いました。「情報セキュリティポリシー」と言っても、その内容には入退室管理のようなことも含まれてくるので、両者を明確に区別するのは難しそうです。

　Webを検索しても、日本語では、情報でない「セキュリティポリシー」について書いたものは見つかりませんでした。Wikipedia他言語版を見ても、英語版は「セキュリティポリシー」と「情報セキュリティポリシー」の両方を置いていますが、ドイツ語版もフランス語版も、両者の区別をしていませんでした。

　ノートページにこういうことを書いてから修整するのが筋だと思ったのですが、くどくど書くとかえって面倒そうなので、改定案を直接示しました。これでよいなら、このまま作業を進めます。だめなら、本当にどなたでもリバートしてください。

　なお、「プライバシーポリシー」は独立した項目にして、ここにはそこに誘導するリンクを置くのがよさそうに思います。 --Kazov 2008年6月8日 (日) 10:11 (UTC)[返信]

初版投稿者のGoatidです。2004年に私がこの記事を作成した時点では，セキュリティポリシーの意味合いはかなり曖昧で様々な観念がごちゃまぜになって認識されていたように記憶しています。

それが私自身だけだったのか，はたまた社会一般がそうだったのか，今となっては忘却の彼方です。

私自身としては，上の方の議論されているように，「(項目名の)セキュリティポリシー＝情報セキュリティポリシー」と考えて執筆していたような気がします。コンピュータ関連だから当然に情報のことだという意識があったのかもしれません。

「一般的な…」は当時は蔓延(?)していた誤用だと思います。これも「情報セキュリティポリシーにはプライバシーポリシー以外ない」という思い込みです。

私としては，「情報セキュリティポリシー」と「プライバシーポリシー」に分割して，「セキュリティポリシー」は「情報セキュリティポリシー」にリダイレクトすべきだと思います。今となっては「プライバシーポリシー」の意味で使うことはまずないので，クッションを置く必要はないでしょう。

「プライバシーポリシー」の項目に「誤って『セキュリティポリシー』との呼ばれることもあった。」と申し訳程度に書いていただければこの項目の根本的間違いを正すのに十分です。

曖昧な定義で記事を書いたが為に4年もの間発展を停滞させてしまい，申し訳ありませんでした。--Goatid 2008年7月1日 (火) 11:14 (UTC)[返信]

Goatidさん、初版の作成ありがとうございます。また、2008年7月1日11:14(UTC)のご提案、どうもありがとうございます。他の方も、次のとおりでよいでしょうか。

1. 「プライバシーポリシー」は別ページに分割する。
2. このページを「情報セキュリティポリシー」に移動する。
3. 「セキュリティポリシー」から「情報セキュリティポリシー」にリダイレクトする。

なお、私が作業するとすると２週間後くらいになります。また、移動には慣れていません。どなたか、それ以前に作業してくださるとありがたいです。--Kazov 2008年7月1日 (火) 13:14 (UTC)[返信]

賛成です。ただし、(3)はいつかリダイレクトを解除して曖昧処理のページにしたくなるかもしれません。というのは、「セキュリティポリシー」という言葉は「企業などの組織における情報資産の情報セキュリティ対策」をまとめた指針ではなくて、機器やOS等における「セキュリティ方針をまとめたもの」という意味でも使われることがあるみたいで「組織における」と限られるわけではないみたいです。FIPS 140やISO 19790関連文書を見ていると、その意味での「セキュリティポリシー」という名前の文書がでてきます。また、OSなどでのアクセス制御方式でいう「ポリシーベース」のポリシーは、組織のセキュリティポリシーを指していることもあるみたいですが、OSは個人で使用する場合もあるので、これも組織とは限らないと思います。このような使い方が増えたときには、別途項目を作成したくなるかも知れないからです。Sina 2008年7月1日 (火) 14:51 (UTC)[返信]

同意見です。では、3. については、リダイレクトにしないで、初めから「セキュリティポリシー」というページを作成したほうがよいのではないでしょうか。その記事の執筆についてはご協力をお願いいたします。 --Kazov 2008年7月4日 (金) 06:55 (UTC)[返信]

軽い意見ですので聞き流していただいても構いませんが。「OSなどでのアクセス制御方式でいう「ポリシーベース」のポリシー」とか、あと物理セキュリティに関する所謂「オフィスセキュリティポリシー」など確かにありますが、予めその記事を想定することがほんとうに必要なのだろうかと思います。特に前者は一般化して記述するのはかなり難しい問題ではなかろうか、つまり書けるのだろうかと。プライバシーポリシーと同じように、何方かが書かれたときには「関連項目」でリンクする程度でも良いのではという気もします。--Ktmchi 2008年7月24日 (木) 14:10 (UTC)[返信]

まず、次の処理を行いました。

• 1.「プライバシーポリシー」は別ページに分割する。

--Kazov 2008年7月21日 (月) 11:16 (UTC)[返信]

ご苦労さまでした。前から気にはなっていたのですが、これで落ち着くべき処へ落ち着いたという感じですね。--Ktmchi 2008年7月24日 (木) 14:10 (UTC)[返信]

移動を行いました。次の状態になっています。

• 2.「セキュリティポリシー」を「情報セキュリティポリシー」に移動した（ノートページも）。
• 3.「セキュリティポリシー」から「情報セキュリティポリシー」にリダイレクトしている。

「セキュリティポリシー」は、Ktmchiさんがおっしゃるように内容が書けそうもないので、新たなページは作らず、（移動によって自動的にできる）リダイレクトページのままになっています。 --Kazov 2008年8月10日 (日) 12:17 (UTC)[返信]