具体的なセキュリティ ポリシーが乗ってます! 参考になりますね・・・。
ひとつ思うのですが、情報セキュリティ違反の際に情報システムの取り上げを罰則にすると、「じゃー仕事しなくてもええんか!」等と逆切れされる場合があるかもしれませんね。あんまりいい罰則じゃないかも知れません。
それよりもそういうユーザーには、セキュリティ ポリシーを作ってもらうとか、「自分のような違反が発生しないようにするために」みたいなドキュメントを作ってもらうとか、そういう罰則の方が有意義かもしれないですね。んー、でも規定にはなかなか書きにくいですねぇ。