この付録では、サイトのセキュリティーポリシーについて解説し、詳細についての参考文書や Web サイトを紹介します。
各 Trusted Extensions サイトは固有であるので、それぞれ独自のセキュリティーポリシーを作成します。セキュリティーポリシーを作成および管理する場合は、次のタスクを実行してください。
セキュリティーチームの設置。セキュリティーチームは、トップレベルの経営、人事管理、コンピュータシステム管理と管理者、および設備管理からの代表者で構成する必要があります。チームは、Trusted Extensions 管理者のポリシーと手順を検討し、すべてのシステムユーザーに適用される一般セキュリティーポリシーを勧告する必要があります。
経営管理担当者に対するサイトセキュリティーポリシーについての教育。サイトの経営管理に携わる担当者は全員、セキュリティーポリシーに関する教育を受ける必要があります。ポリシーの情報はコンピュータシステムのセキュリティーに直接関係するので、一般ユーザーがセキュリティーポリシーに触れることができないようにする必要があります。
ユーザーに対する Trusted Extensions ソフトウェアおよびセキュリティーポリシーについての教育。すべてのユーザーはTrusted Extensions ユーザーズガイドを読む必要があります。システムが正常に動作していない場合、通常、これを最初に知るのはユーザーであるため、ユーザーはシステムに関する知識を持ち、発生した問題をシステム管理者に報告する必要があります。セキュリティー保護された環境では、次のような異常に気が付いたら、ただちにシステム管理者に報告する必要があります。
各セッションの初めに報告される前回のログイン時間が間違っている
ファイルデータに異常な変更がある
人間が理解できる形式の印刷出力をなくしたり盗まれたりした
ユーザー機能が実行できない
セキュリティーポリシーの施行。セキュリティーポリシーが施行されていなかったり遵守されていない場合、Trusted Extensions が構成されたシステムに格納されるデータは保護されません。問題を記録する手順、および問題解決のために行なった措置を記録する手順を決定しなければなりません。
セキュリティーポリシーの定期的な検討。セキュリティーチームは、セキュリティーポリシーの評価と、前回のポリシー評価のあとに発生したすべてのできごとの評価を定期的に行わなければなりません。これによってポリシーを修正することによって、セキュリティーを向上させることができます。