セキュリティポリシーを策定する前に、重要情報の定義とリスク分析を行います。情報の重要度やリスク分析の結果に基づいて、どのようなセキュリティ対策を講じるのかを決定します。

重要情報の定義では、セキュリティ対策を有効に実施するため、守るべき情報を洗い出し、情報を重要度により分類します。守るべき情報としては、“情報資産について”に示したように、“データベース管理情報”、“データベース一般情報”があります。洗い出した情報は、“個人情報”、“機密情報”といった、情報の重要度により分類します。

リスク分析では、“想定される脅威”を参考に、起こりうる脅威を洗い出して、脅威に対するリスクを分析します。

また、年に一度を目安に、リスク分析を行うことで、業務に悪影響を及ぼす可能性がある脅威や関連する脆弱性を識別することができます。