http://maruyama-mitsuhiko.cocolog-nifty.com/security/2007/02/post_230e.html#more
(丸山満彦氏のブログより)
まさに人・プロセス・技術(ツール)のバランスが取れてこその対応だと思います。
人のやる気だけではどうにもなりませんし、プロセス(この場合は手順書とかの文書ですかね)だけ
あってもダメで、それらを支援する便利なツールがあってこそちゃんと運用していけるものだと
思います。
あとは、世間で脅されて囁かれている噂のように「ガチガチに統制すべきだ」と言うのも
どうかと。。。
初年は実施基準案にちゃんと合致した形で出来ていれば十分だと思います。
改善すべき点は翌年以降の改善案で構わないと私は思っています。
＃それゆえの「PDCAサイクル」ですからね