組織の情報セキュリティには、文書化された情報セキュリティポリシーが不可欠である。 セキュリティ基準が緩いと、データや個人情報の損失や盗難の原因となるため、これは大企業と中小企業の両方に当てはまります。 文書化された方針は、従業員、訪問者、請負業者、または顧客に対して、企業が情報の安全確保に真剣に取り組んでいることを保証するものです。 パスワード、デバイスの使用、インターネットの使用、情報の分類、物理的なセキュリティ（情報を物理的に保護すること）、および報告要件に関するガイダンスを含める必要があります。

パスワードおよび個人識別番号に関するポリシーを作成すると、従業員がログインまたはアクセス認証情報を安全な方法で作成していることを確認できます。

Device Controls

コンピュータ、タブレット、およびスマートフォンへの適切なアクセス方法を確立して、情報へのアクセスを制御する必要があります。 方法としては、アクセスカードリーダー、パスワード、PINなどがある。

デバイスは、ユーザーが離れるとロックされるべきである。 アクセスカードは取り外すべきで、パスワードやPINは書き留めたり、アクセスされる可能性のある場所に保管してはならない。 個人所有のデバイスは、従業員の職務を妨げ、情報セキュリティの偶発的な侵害を引き起こす可能性があります。

個人所有のデバイス使用に関するポリシーを策定する際には、従業員の福利厚生を考慮に入れてください。 家庭で注意を要する事態が発生した場合、家族や恋人が従業員と連絡を取る必要があります。 これは、家族が愛する人にメッセージを送る方法を提供することを意味するかもしれません。

ビジネス関連のデバイスの損失や破損を報告するための手順を開発する必要があります。

インターネット/Webの使用

職場でのインターネットアクセスは、ビジネス上の必要性のみに制限されるべきです。

電子メールは、ビジネスがそれを許さないモデルを中心に構築されていない限り、ビジネス用の電子メールサーバーとクライアントのみを介して行われるべきである。 リンク、明らかなフィッシングの試み、または不明な送信元からの電子メールに対処するためのガイダンスを推奨します。

ソーシャルメディアやその他の個人のネットワーキング・サイトを通じて、職場情報が露出するリスクを最小限に抑えるよう、従業員と合意してください。

暗号化と物理セキュリティ

自分の情報のために暗号化手順を開発するとよいかもしれません。

鍵の発行記録や異なるエリア用の別々の鍵など、鍵とキーカードの管理手順は、情報保管エリアへのアクセスを制御するのに役立ちます。

識別が必要な場合は、識別の発行、記録、表示、および定期検査の方法を開発します。

セキュリティポリシーの報告要件

従業員は、何を報告すべきか、どのように報告すべきか、誰に報告すべきかを理解する必要がある。 明確な指示を公表する必要があります。

エンパワー・ユア・チーム

効果的なポリシーを作成する鍵の1つは、ポリシーが明確で、遵守しやすく、現実的であることを確認することである。 過度に複雑なポリシーや支配的なポリシーは、人々がシステムを回避することを助長します。 情報セキュリティの必要性を伝え、セキュリティの問題を発見した場合に従業員が行動できるようにすれば、情報が安全な環境を構築することができるだろう