システムの資産価値や、損害額などキチンと把握していますか？
    

        システムの資産価値を測定する方法はさまざまですが，リスク・マネジメントや資産管理で使われている手法を参考にするとよいでしょう。
システムで扱っている情報の重要度や情報が漏えいしたときに被る損害額など，客観的な情報を用いてあらかじめ優先付けしておきます。
    
先日、JNSAのセミナに参加した際に、セキュリティポリシーを制定している企業でも、単に雛形をコピってカスタマイズしただけで、
そういったことを行っていない企業がやはり、まだまだある...という話がありました。