セキュリティポリシー
1.目的
本セキュリティポリシーは、情報セキュリティ対策の基本的な方針を定め、情報資産の改ざん、漏洩および不正アクセスなどを防ぎ、その上で、情報セキュリティが達成されることを目的とします。
2.情報セキュリティの定義
情報セキュリティとは、想定されるさまざまな脅威から情報資産の機密性、完全性および可用性を維持することです。
情報資産への脅威には、大きく以下の3つがあります。
(1) 自然の脅威:
地震、火災、風水害など
(2) 人間の脅威:
情報資産の持ち出し、パソコンの盗難、コンピュータの操作ミスなど
(3) システムの脅威:
ハードウェアの故障、ソフトウェアの不具合など
情報資産は、以下の3つの側面から保護する必要があります。
(1) 機密性:
認可された利用者だけが情報資産にアクセスできること(情報の漏洩を防ぐこと)
(2) 完全性:
情報資産の内容が正確であること(情報が故意に改ざんされること、ミスにより変更されることを防ぐことなど)
(3) 可用性:
認可された利用者が、必要なときに、情報資産を利用できること(外部からのシステムへの妨害、システムの故障などが発生したときにも、情報資産を利用できるようにすること)
情報セキュリティの保護対象は、電子的なデータはもちろん、コンピュータおよび記憶媒体、印刷物等の紙媒体、人の頭のなかにある情報、音声などを含めた、すべての情報および伝達手段とします。
3.適用範囲
情報セキュリティ基本方針の適用範囲は、以下のとおりとします。尚、外部委託業者については、委託業務遂行に際し本基本方針を含む、当社の規程、マニュアルに沿って業務委託に関わる契約書に機密保持、個人情報保護の定めを記載するものとします。
(1) 当社の役員および従業員
(2) 外部委託業者の役員および従業員
情報セキュリティの基本方針
情報セキュリティの継続的な維持・向上を図るために、日々変化するリスクや突発的な事象に対して適切なリスクマネジメントを行います。さらに、情報セキュリティ対策が有効に機能していることを確認するために、情報セキュリティに関する監査を定期的に実施します。また、情報セキュリティ事故が突発的に発生した場合のことを考慮し、解決策の実施や回避策などを検討するための体制や対応手順を事前に明確にします。
1.情報セキュリティの管理体制
情報セキュリティを確立し、情報資産を適切に管理するために情報セキュリティの推進体制および責任体制を確立します。
2.情報資産の分類及び管理
情報資産を適切に管理するために、情報資産をその重要度により分類し、重要度に応じた取扱い方法を定めます。
3.人的情報セキュリティ
規程、マニュアルに従い、自身の役割と責任、実施すべき施策について共通認識を持つことができるように、適切な教育を実施します。また、採用時および退職時の従業員の管理を適切に行います。
4.物理的セキュリティ
第三者による物理的な不正侵入や業務への不正な介入を防止し、情報資産を盗難や破壊から保護するために、エリア毎に物理的な対策を講じる等の建物やオフィスに対する適切な防護措置を行います。
5.不正アクセスへのセキュリティ
外部からのネットワークを通じた不正アクセスを守るため、適切な防護措置を取ります。
6.システムセキュリティ
システムやネットワークの「運用管理」「開発」「利用」について、情報セキュリティ確保のための施策を講じます。
7.ビジネス継続管理
情報セキュリティ事件・事故、情報システム障害、自然災害等による情報資産の破壊や業務機能の停止などの可能性に備え、速やかに情報資産の復旧を行います。
8.規程の遵守
健全な事業運営を遂行するために、法律や契約、規程、マニュアルを遵守します。
9.改定
年1回、セキュリティポリシーの見直しを行い、改定を検討します。