风险评估、安全策略的制定、监察的外包服务

为了核准安全策略的运用状况和遵守程度，可以考虑聘请外来顾问或安全诊断服务公司。通过第三者取得的客观评价和诊断，有利于正确掌握安全策略的遵守状况、职员行为与道德水平、安全产品的运用状况、对教育普及活动的反馈以及重新评价安全策略。在很难独自制定安全策略的情况下，应该首先接受安全公司的诊断服务。安全公司会针对企业的整体安全状态进行评估。评估包括以下几个内容：1）关键业务（SAP等ERP软件、数据仓库、EDI系统等）；2）系统平台（路由器、防火墙、负载均衡设备、认证服务器等）；3）公司服务（客户访问量、客户层次等）、操作水平等多个方面，在综合这几个方面的评估的基础上，对企业的现有安全状态作一个综合评价。安全公司基于其对企业的综合安全评价诊断，着手构筑安全策略。安全专门公司通常会利用BS7799ISPME等标准化的制定步骤开展构筑工作，因而可以在公司各个组织部门之间取得平衡，在准确地对安全推进体制进行明文化之后，整体安全策略就不会发生不协调。在日本和欧美各国，当一个企业在与政府部门或国外企业进行贸易相关的活动时，对方往往通过安全策略的水平，就会判断出是否能与之做交易。因此，对企业经营来讲，这样的外压也会成为制定和重新评价安全策略的动机。在推进与EDI等其他公司之间的Extranet之际，由于会发生不仅国内而且在海外也必须制定统一标准的安全策略的情况，正如国际会计标准渗透到企业会计领域一样，今后也考虑到ISOIEC15408，BS7799等标准，制定和修订安全策略的情况将会增加。