セキュリティポリシーって?

Winnyで機密情報が流出事件が相次いでいますが、ほとんどが

「ファイル交換ソフトを入れたPCでの閲覧は禁止していた」

と報道されています。

Winnyで情報漏えいがあった組織のセキュリティポリシーは本当に「ファイル交換ソフトが入ったPCで閲覧は禁止する」と書いてあるのでしょうか?

そもそも勝手にソフトをインストールするのは一切不可にすべきです。データを持ち出して自分のPCで参照するのも当然不可にするべできす。自衛隊などが取り扱う機密情報は公開ネットワークに接続しているまたは接続する可能性があるコンピュータからデータ参照は禁止すべきだと思うのですが….

セキュリティポリシーがどうなっているのか気になる所です。公共系の組織はISO9000やISO14000を取得する前にISMSを取得した方がよいのではないでしょうか?

もしかして立派なセキュリティポリシーがあるけれど、広報担当でさえ内容を知らない状況なのでしょうか?