セキュリティポリシーは、最近聞かれるようになった言葉ですが、これが何を意味しているかは、あまり明確にはされていないようです。

セキュリティポリシーでは、保護すべき対象を明確にし、それに対する対策を考慮すべきです。しかし、セキュリティポリシーの対象はほとんどの場合、コンピュータとそこに記録されている電子情報を対象としています。

オフィスには、電子化された情報だけが流通しているわけではなく、紙による情報も重要な位置付けを占めています。紙だけによる情報の流通から、電子化データを主体とした情報流通へと変わりつつあります。
このような状況にあるとき、セキュリティの対象をコンピュータや、通信を対象としたものだけとすると、プリントアウトした情報は、セキュリティの対象からはずれてしまい、情報そのものを守るといった概念から遠いものとなってしまいます。

紙、コンピュータ、 通信などについて全てを含んだ「情報セキュリティ」が必要であり、この考えを受けた形で、電子データを対象とした情報セキュリティを策定する必要があります。

「情報セキュリティポリシーに関するガイドライン」にもあるように、「どのような情報資産をどのような脅威から、どのようにして守るのかについて」明確にする必要があります。
自社の情報が、犯罪または事故で漏洩することを防ぐのが、最も一般的ですが、顧客の情報処理を受託しているような場合（データベース化の受託、書類の電子化行向けの受託など）では、顧客から預かっている情報を、社外に漏洩したり、複数の顧客から預かった情報を、他の顧客のデータに混入しないようにすることが最も大切となります。
また、顧客のプライバシーに関する情報を取り扱うような場合（金融機関などの顧客情報、官庁では住民情報、資産情報など）、社外への漏洩だけでなく、社内でも特定の者だけが取り扱えるように制限することが必要です。
目的をはっきりさせることで、新たに発生した種類の情報でも、どのように取り扱うべきか、容易に判断できるようになります。

適切なセキュリティレベルの設定を

セキュリティを完全にしようとするあまり必要以上に厳しく設定すると、情報を利用しようとした時の手間が不便であるため、そのコピーをとって各人が持つようになるなど、実質的に守らない（守れない）ポリシーとなってしまいます。
また、その情報を利用する人から見て、その情報を紛失なり漏洩した時のリスクが、たいしたものではないと感じられるようでは、そのセキュリティを遵守しようとする意欲がそがれてしまいます。
さらには情報は日々に新しい種類のものが作成されてきますが、そのたびに判断に迷うようでは、徐々にセキュリティレベルは低いほうに統一されてくる危険性があります。