まぁ、今回もいろいろ書かれているわけですが、
    

        情報セキュリティ対策を設計する時に必ず行わなければならないのが、棚卸し作業である。
一つは情報処理機器について、もう一つが情報資産のそのものについて、どのようなものがあり、
その管理を誰が行っているのかに関する正確な情報を収集する作業だ。
    
JNSAの内部統制に関するセミナに参加した際に、稲垣弁護士が資料として提示しておられた、
「平成16年経済産業省情報処理実態調査」から作成された資本金別情報セキュリティ対策実施状況を見てみると、
リスク分析は行っていないが、セキュリティポリシーは策定されているという内容がある。
この内容は、情報処理実態調査：経済産業省内に掲載されている平成１６年調査関係資料 (平成１７年１２月２６日公表）の、
報告書（PDF：234KB）32ページに記載されているので、まだ読まれていない方は一読どうぞ。

たとえば、機器に関して言うと、いつ導入のどこ製の端末なのか？とかそういったことや、いつ導入したUPSなのか？なども必要ですよね。
UPSつけてるよー停電だって大丈夫！...5年以上前のUPSなんだけどね。って言われると、大丈夫なはずが無い気がしますよね。
というか、ぜったい、中のバッテリーへたれだと思います。

そのほかにも、色々なことが書かれていますので、一読どうぞ。