ITProより。確かにトップダウンで作ったセキュリティポリシーは厳しくなりすぎることがありますよね。厳しいポリシーを作るならいたずらに手間を増やさないための投資も必要だったりするのですが、とりあえずマンパワーで解決しろとか言われちゃうとあっという間にポリシーが形骸化します。あと書かれてるとおりポリシーを作ったら遵守できているかどうかの“Check”は重要ですよね。