社内規定作成

えーと。 ご質問の話は、「セキュリティポリシー」となるのではと思います。 日本の基準として、ガイドラインは存在します。 基本を押さえれば、難しくとも対応できるでしょう。 首総官邸：「情報セキュリティポリシーに関するガイドライン」 http://www.kantei.go.jp/jp/it/security/taisaku/guideline.html 大事なことは、次の通りです。 ・セキュリティポリシー委員会の発足 ・社長または相当職を委員長とする。 ・委員は人選（経営者と社員の混合）。 ・指示はすべて、委員長からトップダウンで。 ・委員会内で予算の決定（委員長の承認）。 ※セキュリティは「経営の基本！」と認識すること。 →経済産業省指導要項。 ※委員会には事務局や窓口を設置（部門混合）。 →対外的に活動する（広報が望ましい）。 →従業員への教育，啓蒙（総務が望ましい）。 →委員会へのアドバイザー（実務担当者が望ましい）。 などなど。 組織として確率することです。 セキュリティに関するすべてのことは、委員会で決めます。 では具体的にどうするかというと。 例えば、社長の名前と承認で「社外でのメールの送受信を禁止する！」と文書で通達すればいいのです。 １行で結構です。 それだけで立派な「セキュリティポリシー」です。 できるものを少しづつを規定していけばいいのです。 そしてある程度まとまったら、体系化します。 その繰り返しです。 考え方として。 ・自分の言葉で、わかるように表現すること。 ・できる範囲で規定すること。 →難しいものはできるようになってから＜絵に書いたモチにしない！ ・何十行に渡って、規定する必要はない。 →結果、そうなった！　でいいのです。 といったところでしょうか？ 「セキュリティポリシー」で注意しなければいけないのは、 ・管理者が守るべきこと ・ユーザが守るべきこと。 を切り分けることです。 混同してては、方向性が定まりませんので。 セキュリティポリシーのトップとして、社長の名前と承認で、 （例） ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ ××年××月××日 　　　　　　　　　　　　　　　　　　　　××会社 　　　　　　　　　　　　　　　　　　　　社長×× 「セキュリティポリシー」 ・全従業員は、各セキュリティポリシーを厳守のこと。 ・本件、即日施行する。 ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ と通達されてみてはどうでしょうか？ つまりは、そういうことなのです。 やり方はいろいろあります。 上記は、あくまでも例です。 自分の会社（文化）にあわせた手段や方法を取りましょう。 ご参考で。

>>、今メールサーバーはプロバイダに借りている状態なので、自社で、メールサーバーを設けようかと思います。 >>なので、社外でのメールの送受信を禁止しようかとも思います。 これは、サーバーからインターネットメールの送受信にロックを掛けてしまえばよい事で規定では無くて方針では？ 情報部門の規定と言うと 　・開発規定 　・運用規定 　・セキュリティ規定（別途ユーザーの規定も必要です） 　・etc・・・ セキュリティに絞って言うなら、 　・テスト時の本番データ使用禁止（顧客の情報保護及び自社データ保護） 　　や使用時のルール。 　・ＬＡＮ環境からインターネット接続ルール（原則禁止にし、使用する場合 　　の手続きや運用ルール。 　・ベンダー契約時の守秘義務条項を入れる。 　・パスワードの管理ルール。同一パスワードの長期使用禁止、強いパスワード 　　設定ルール（４桁の数字などは論外、８文字以上で必ず特殊文字を使う） 思い付くだけを列挙してみましたが、セキュリティーだけで２・３０ページ にはなっています。

こんなページは参考になりますまいか。 加えるなら、IEとOEを使用禁止にするとか。