情報セキュリティ対策規程

情報セキュリティ対策規程

第1章 総則

(目的)
第1条 当社は、ネットワークコンピュータ上を流通する情報やコンピュータおよびネットワークなどの情報システム(以下、情報資産)を第4の資産と位置付け、この情報資産を重要な資産とし、保護・管理する「情報セキュリティマネジメント」を実施するために、『情報セキュリティポリシー』を策定する。
本規程は、「情報セキュリティ方針」に従い、情報資産を保護・管理するために遵守すべき事項を可能な限り具体的かつ網羅的に規定したものである。

(対象システム)
第2条 本規程の対象システムは、当社の情報資産に関係する人的・物理的・環境的リソースを含むものとする。当社の対象システムのシステム構成図は下図のとおりとする。

【当社システム構成図】

(適用者)
第3条 本規程は、当社のネットワークコンピュータを利用する全ての利用者に適用する。ただし、セキュリティ対策の内容によって適用者が異なるため、各情報セキュリティ対策規程では適用者を明確に記載するものとする。本規程の適用者は、次に示すとおりとする。
1 当社の役員と正社員
2 子会社、関連会社の従業員、パートおよびアルバイト
3 外部委託業者の従業員(派遣社員、アルバイトを含む)

(定義)
第4条 本規程で用いられる用語について、次のとおり定義する。

項目    内容
情報セキュリティ基本方針    情報セキュリティ基本方針は、『情報セキュリティポリシー』の最上位に位置する文書であり、当社の情報セキュリティマネジメントにおける方針を記述したものである。
情報セキュリティ対策規程    情報セキュリティ対策規程は、方針の下層に位置する文書であり、方針での宣言を受け、項目毎に遵守すべき事項を網羅的に記述する。
情報セキュリティ実施手順書    情報セキュリティ実施手順書は、対策規程の下層に位置する文書であり、この文書は、情報セキュリティ対策規程で記述された文書をより具体的に、配布するべき対象者毎に内容をカスタマイズして記述する。
情報セキュリティ委員会    情報セキュリティ委員会は、当社の情報セキュリティを維持していく組織であり、全社的なマネジメント体制を整える。
情報システム部門    情報システム部門は、情報セキュリティ委員会で決定した対策事項を実施および推進する担当部署で、当社の情報機器の管理責任を有し、当社に関係するセキュリティ情報収集を行い、社内のセキュリティ対策に反映、また従業員から収集した情報を、必要に応じて情報セキュリティ委員会に報告する。
システムセキュリティ責任者    システムセキュリティ責任者は、情報システム部に属し、システム管理者の作業指示・管理を行い、システム管理者同士での作業の「相互牽制」および「職務の分離」が有効に働くように配慮する。
システム管理者    システム管理者は、情報システム部に属し、システムセキュリティ責任者より与えられた管理作業の責任を有し、管理を依頼された情報機器に対して、セキュリティ対策を実施する現場レベルでの責任者である。
オペレーター    オペレーターは、情報システム部に属し、システム管理者の管理下のもの実質的な作業を行う者である。
セキュリティ担当者    セキュリティ担当者は、情報システム部以外の各部署の部門長によって最低一人は任命され、配置される者であり、部門内におけるセキュリティ推進および情報収集担当であり、収集した情報は情報システム部へ報告する

(セキュリティ対策規程構成)
第5条 当社の『情報セキュリティポリシー』の情報セキュリティ対策規程は、その情報セキュリティ対策を、次のとおり29項目に分け策定・管理するものとする。

NO    規程(スタンダード)
1    アカウント管理規程
2    外部公開用サーバー管理規程
3    サーバー管理規程
4    ソフトウエアおよびハードウエア導入規程
5    ユーザー認証管理規程
6    クライアント等におけるセキュリティ管理規程
7    電子メールサービス利用規程
8    ウイルス対策規程
9    Webサービス利用規程
10    ネットワーク構築規程
11    社内ネットワーク利用規程
12    LANにおけるPC設置・変更・撤去に関する規程
13    リモートアクセスサービス利用規程
14    専用線およびVPNに関する規程
15    媒体の取扱に関する規程
16    施設・設備機器等管理規程
17    サーバールーム管理規程
18    職場環境におけるセキュリティ管理規程
19    セキュリティインシデント報告・対応規程
20    セキュリティ情報収集および配信規程
21    システム監視に関する規程
22    システム維持に関する規程
23    委託契約に関する規程
24    情報セキュリティ監査規程
25    罰則に関する規程
26    プライバシーに関する規程
27    プロシージャ配布に関する規程
28    情報セキュリティ教育規程
29    情報セキュリティ更新手順に関する規程

② 各情報セキュリティ対策規程(スタンダード)では、以下に示す項目の記載をしなければならない。
第1章 総則(目的、対象者、対象システム)
第2章 遵守事項(遵守事項、例外事項、罰則事項、公開事項、規程の見直しおよび改訂)

(例外事項)
第6条 業務の都合等により規程の遵守事項を守れない状況が発生した場合は、情報セキュリティ委員会に報告し、例外の適用承認を受けなければならない。

(罰則事項)
第7条 本規程の遵守事項に違反した者は、その違反内容によっては罰則を課せられる場合がある。罰則の適用については『罰則に関する規程』に従うものとする。

(公開事項)
第8条 本規程は対象者にのみ公開するものとする。

(規程の見直しおよび改訂)
第9条 本規程は、定期的(年1回)に内容の適切性を審議し、改定が必要であると認められた場合には速やかに改訂し、その改訂内容をすべての対象者に通知しなければならない。
② 本規程の改訂にあたっては、情報セキュリティ委員会の承認を得るものとする。

附則
平成  年  月  日 施行

スポンサーリンク



シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク