1.情報セキュリティポリシーとは？
(1)リスクの値
情報資産の価値×脅威×脆弱性
(2)リスクの"取扱い"
①無くすのか（除去）②減らすのか（軽減）③他へ移すのか（転化）④許すのか（許容）をリスクの値を基準値と比較して判断する。

2.ポリシー策定で利用されるガイドライン
(1)BS7799-Part2
情報セキュリティマネジメント対象。BSIが発行、UKAS（英国認定機関）認定。
Part1のみJISX5080でJIS化。
(2)ISMS適合性評価制度
情報セキュリティマネジメント対象。JIPDEC(日本情報処理開発協会）が発行及び認定。
(3)ISO/IEC　TR13335
ITセキュリティマネジメント対象。TR　X0036でJIS化。
(4)ISO/IEC　15408
ハードウェア・ソフトウェア製品または、システム対象。JISX5070でJIS化。
(5)プライバシー評価登録制度（要求事項）
個人情報保護マネジメント対象。JIS　Q15001でJIS化。

3.セキュリティ対策に関する3つの特性
(1)IT発展速度の特性
各メーカ、ベンダはセキュリティの継続性を（無償では）保証しない。
(2)対策の考え方の特性
一番重要なのは漏洩があった時どうするかの危機管理
(3)市場のセキュリティ事故の特性
主原因はヒューマンエラー（技術のみの対策の限界）

4.情報セキュリティポリシー構築失敗の要因
(1)構築に時間がかかりすぎて途中で断念してしまう
(2)情報セキュリティポリシー自体の運用が出来ていない

5.情報セキュリティポリシー構築手法
(1)守るべきポリシーの効果（メリット）と負荷（デメリット）を明確にするため、
複数案（３案程度）洗い出し、その中の折衷案で決定とするのが良い。
(2)リスクアセスメントは、その調査対象毎に手段を使い分ける。
①自ら足を運んで目で見て確認(現場観察）
②自ら足を運んで耳で聞いて確認（現場インタビュー）
③専門家に依頼（ネットワーク脆弱性診断などの外部委託）
④現場に書いてもらい確認（調査表、アンケートなど）
(3)リスク対策法決定までの最適プロセス
機密性・完全性・可用性だけでなく、
①利便性②実現性③有効性④コストとのバランスを考慮する。