先月4月5日に、社団法人日本監査役協会から、「内部統制システムに係る監査の実施基準」が公表されました。
これは、同協会が制定した監査役監査基準を補足するもので、法的な強制力を持つものではありませんが、実務の参考になります。
この中で、IT部門に関連するものとして、以下のような記述があります。

(情報保存管理体制に関する監査)
第10条
1 (略)
2 監査役は、情報保存管理体制が前項に定めるリスクに対応しているか否かについて、以下の事項を含む重要な統制上の要点を特定のうえ、判断する。
一  (略)
四  保存・管理すべき文書及び情報の重要性の区分に応じて、適切なアクセス権限・保存期間の設定、
セキュリティ・ポリシー、バック・アップなどの管理体制が整備されているか。 (以降略)

監査役の方々も、セキュリティ・ポリシーの整備状況には、関心が高いようですので、対応されていない会社は、整備を進められるのがよろしいかと。