情報セキュリティ基本方針

情報セキュリティ基本方針

第1章 総則

(目的)
第1条 ネットワークコンピュータを利用した経営環境が、当社に導入されて久しい。その間、当社の扱っている情報が、ネットワークコンピュータ上で扱われることが当然のこととなった。ネットワークコンピュータは、その導入による業務効率の影響は甚だしく、また、経営支援ツールとしても今後も大いに活用していくべきものである。インターネットを利用してビジネスチャンスを拡大している当社にとって、「セキュリティの確保」は必須事項である。昨今の度重なるセキュリティ事件は、当社にとっても「対岸の火事」ではなく、問題を発生させないために、早急に対応しなければならない経営課題である。
お客様との関係において、セキュリティ事件が発生した場合の営業機会の損失は甚だしいものになることは想像に難くない。当社は、顧客満足度を向上させるためにも、安全かつ安心なブランドイメージを早急に構築しなければならない。
そのために、当社は、ネットワークコンピュータ上を流通する情報やコンピュータおよびネットワーク等の情報システム(以下、情報資産)を第4の資産と位置付ける。よって、当社は、情報資産を重要な資産とし、保護・管理しなければならない。
当社は、情報資産を保護する情報セキュリティマネジメントを実施するために、『情報セキュリティポリシー』を策定する。
『情報セキュリティポリシー』は、当社の情報資産を、故意や偶然という区別に関係なく、改ざん、破壊、漏洩等から保護されるような管理策をまとめた文書である。
当社の情報資産を利用する者は、情報セキュリティの重要性を認知し、この『情報セキュリティポリシー』遵守しなければならない。

(適用範囲)
第2条 本基本方針の適用範囲は、当社の情報資産に関連する人的・物理的・環境的リソースも含むものとする。
当社の保有するシステムの具体例は、別紙1で示している範囲とする。

(適用者)
第3条 当社の役員、正社員、契約社員(パート、アルバイトを含む)、関連会社社員等、当社の情報資産を利用するすべての者に適用する。

第2章 責務

(経営陣の責務)
第4条 経営陣は、『情報セキュリティポリシー』への支持・支援を表明し、率先して情報セキュリティマネジメントを推進しなければならない。

(社員等の責務)
第5条 一般社員等には、当社の情報資産の使用を認めるが、それは、円滑な業務遂行の手段としての使用を認めることであり、私的利用を許可するものではない。一般社員等は、情報資産を扱う上で、企業利益の維持・向上および顧客満足のために、『情報セキュリティポリシー』に同意し、遵守しなければならない。また、これに違反した者は、その結果について責任を負わなければならない。

(外部委託業者に対する対応)
第6条 『情報セキュリティポリシー』の適用範囲内で行う作業を、外部委託業者に依頼する場合には、契約上で遵守するべきセキュリティ管理策を明確にし、セキュリティ事故時の責任に関しても明確にしなければならない。

第3章 『情報セキュリティポリシー』の構成と位置付け

(情報セキュリティ基本方針)
第7条 情報セキュリティ基本方針(以下、「方針」とする)は、『情報セキュリティポリシー』の最上位に位置する文書である。この文書は、当社の情報セキュリティマネジメントにおける方針を記述したものである。この文書に基づいて下層の文書を策定する。

(情報セキュリティ対策規程)
第8条 情報セキュリティ対策規程(以下、「対策規程」とする)は、方針の下層に位置する文書である。この文書は、方針での宣言を受け、項目毎に遵守すべき事項を網羅的に記述する。

(情報セキュリティ実施手順書等)
第9条 情報セキュリティ実施手順書等(以下、「実施手順書」とする)は、対策規程の下層に位置する文書等であり、対策規程で記述された文書をより具体的に、日常の業務遂行に則して使用する様式類を含む文書とする。

(既存の規定との関連)
第10条 方針は、当社の他の規程(就業規則および人事規程等)と同等の位置付けの文書とする。よって、この文書の改廃は所定の規定に準じて行うものとする。

(その他関連法規)
第11条 『情報セキュリティポリシー』は、関連法規と照らして違反することのないようにしなければならない。また、必要に応じて関連規格に遵守した管理策を導入しなければならない。
関連法規・関連規格としては、以下のものが挙げられる。
1 国際規格
(ア) ISO/IEC17799
(イ) ISO/IECTR13335(GMITS)
2 国内規格
(ア) JISQ15001
3 国内法規
(ア) 刑法
(イ) 不正アクセス行為の禁止等に関する法律
(ウ) 建築基準法/同施行令
(エ) 消防法/同施行令/同施行規則
(オ) 不正競争防止法
(カ) 著作権法

第4章 公開

(『情報セキュリティポリシー』の公開対象者)
第12条 方針は、第3条に規定する役員および正社員等を公開対象とする。したがって、一般には公表しない機密情報として取り扱わなければならない。以下、方針以外の文書は機密情報として扱うものとする。
1 対策規程は、情報セキュリティ委員会メンバーと担当部署の者を公開対象とする。
2 実施手順書は、該当する業務を行う者を公開対象とする。

(『情報セキュリティポリシー』の公開)
第13条 『情報セキュリティポリシー』は機密文書として扱い、原則として、社外に公開してはならない。ただし、公開しなければ業務を遂行できない場合には、機密保持契約を締結した上で、公開を認める場合がある。

第5章 定義

(基本用語の定義)
第14条 『情報セキュリティポリシー』における用語は、次のとおり定義する(ISO/IEC17799より抜粋)。

機密性    ・情報にアクセスすることが認可された者だけがアクセスできることを確実にすること
情報セキュリティ    完全性    ・情報および処理方法の正確さおよび完全である状態を安全防護すること
可用性    ・認可されたユーザーが、必要時に、情報および関連財産にアクセスできることを確実にすること
リスクアセスメント    ・情報および情報処理施設・設備に対する脅威、それらへの影響およびバルネラビリティならびにそれらがおこる可能性の評価
リスクマネジメント    ・許容コストにより、情報システムに影響を及ぼす可能性があるセキュリティリスクを明確にし、制御し、最小限に抑制するか、または除去するプロセス
脅 威    ・自然災害、機器障害、悪意のある行為等、損失を発生させる直接の要因のこと
脆弱性    ・建物の構造上の欠陥、定期点検の不備、情報セキュリティ規定・要員教育の不備等、脅威を発生し易くさせる要因、脅威を増加させる要因(脆さ、弱点)のこと

第6章 セキュリティマネジメント体制および構成員

(体制)
第15条 当社のセキュリティマネジメントを実施する体制図は次のとおりとする。

(情報セキュリティ委員会)
第16条 当社の情報セキュリティを維持していくために、情報セキュリティ委員会を設け、全社的なマネジメント体制を整えるものとする。情報セキュリティ委員会の詳細情報に関しては、第8章(情報セキュリティ委員会の役割と責務)で規定する。

(情報システム部門)
第17条 情報システム部門は、情報セキュリティ委員会で決定した対策事項を実施および推進する担当部署とする。
② 情報システム部門は、当社の情報機器の管理責任を有し、当社に関係するセキュリティ情報収集を行い、社内のセキュリティ対策に反映させなければならない。また、従業員から収集した情報を、必要に応じて情報セキュリティ委員会に報告しなければならない。

(システムセキュリティ責任者)
第18条 システムセキュリティ責任者は、情報システム部門に属し、システム管理者の作業責任を有する。
② システムセキュリティ責任者の役割は、システム管理者への作業指示・管理を行い、システム管理者同士での作業の「相互牽制」および「職務分離」が有効に働くように配慮しなければならない。

(システム管理者)
第19条 システム管理者は、情報システム部門に属し、システムセキュリティ責任者より与えられた管理作業の責任を有する。
② システム管理者の役割は、管理を依頼された情報機器に対して、セキュリティ対策を実施する現場レベルでの責任者である。

(オペレーター)
第20条 オペレーターは、情報システム部門に属し、システム管理者の管理下のもとで実質的な作業を行う者である。

(セキュリティ担当者)
第21条 セキュリティ担当者は、情報システム部門以外の各部署の部門長によって最低一人は任命され、配置される者である。
② セキュリティ担当者の役割は、部門内におけるセキュリティ推進および情報(社員のセキュリティ対策および情報セキュリティマネジメントへの不平・不満および問題点等)の収集担当であり、収集した情報は情報システム部門へ報告しなければならない。

第7章 情報セキュリティ委員会の体制および構成員

(情報セキュリティ委員会の体制)
第22条 当社の情報セキュリティ委員会の体制図は次のとおりとする。

(常勤委員)
第23条 常勤委員は、委員長、副委員長、委員とする。常勤委員は、委員会が開催されたときは、必ず参加しなければならない。

(非常勤委員)
第24条 非常勤委員は、外部コンサルタント、法律専門家、システムセキュリティ責任者である。
② 非常勤委員は、委員長によって召集されたときに参加するものとする。

(委員長)
第25条 委員長は、当社の役員の中から情報統括担当役員として取締役会で指名する。
② 委員長は、当社における情報セキュリティマネジメントに関しての最高責任者とする。

(副委員長)
第26条 副委員長は、情報システム部門部長とする。副委員長は、委員長の補佐役とする。但し、委員長が万一職務を遂行することが不可能になった場合、委員長の代理として職務を遂行するものとする。

(委員)
第27条 委員は、各部門長とする。委員は、情報セキュリティ委員会への議題(社内および社外で起きているセキュリティ事象への対応等)を提示することができる。

(事務局)
第28条 事務局は、情報システム部門が担当するものとする。
② 事務局は、情報セキュリティ委員会を運営する上での事務作業を行うものとする。また、情報セキュリティ委員会で作成・策定した情報セキュリティマネジメント計画書や『情報セキュリティポリシー』文書等の管理を行うものとする。

(タスクフォース)
第29条 情報セキュリティ委員会は、各作業を実施するにあたってタスクフォースを設けることができる。このタスクフォースの責任者は、委員の中から選出するものとする。タスクフォースには、『情報セキュリティポリシー』策定、監査、緊急時対応等の作業を実施する。

第8章 情報セキュリティ委員会の役割と責務

(情報セキュリティマネジメントの企画および計画)
第30条 情報セキュリティ委員会は、当社における情報セキュリティマネジメントを実施していく企画および計画を作成し、その計画どおり情報セキュリティマネジメントを実施しなければならない。
② 本企画および計画には、情報セキュリティマネジメントを遂行する為のリスクアセスメントおよびリスクマネジメントをはじめ、『情報セキュリティポリシー』の見直しや従業員への普及・啓発も考慮に入れなければならない。

(『情報セキュリティポリシー』文書の配布責任)
第31条 情報セキュリティ委員会は、『情報セキュリティポリシー』を策定または改訂した場合には、迅速に対象社員等へその文書を配布しなければならない。

(社内教育の実施)
第32条 情報セキュリティ委員会は、情報セキュリティに関する継続的な社内教育を行わなければならない。
また、社内教育は、意識向上と技術向上の両面から実施しなければならない。

(『情報セキュリティポリシー』の遵守状況の評価および改訂)
第33条 情報セキュリティ委員会は、社員等の『情報セキュリティポリシー』遵守状況を定期的に調査し、『情報セキュリティポリシー』のレビューを行わなければならない。
また、従業員の『情報セキュリティポリシー』に対する意見や要望を収集し、その妥当性を評価するとともに必要に応じて内容の改訂を行わなければならない。

(監査結果の評価および改訂)
第34条 情報セキュリティ委員会は、監査の結果を受けて、『情報セキュリティポリシー』の妥当性を評価するとともに、必要に応じて、内容の改訂を行わなければならない。

(取締役会への報告)
第35条 情報セキュリティ委員会は、情報セキュリティの維持・管理状況や『情報セキュリティポリシー』の改訂状況および情報セキュリティに関する事故や問題の発生状況を取締役会へ報告しなければならない。

(『情報セキュリティポリシー』違反者への処罰)
第36条 情報セキュリティ委員会は、従業員の『情報セキュリティポリシー』に違反した行為等が判明した場合、該当社員等に対して適切な措置を講じることとする。また、違反の内容によっては、人事規程に基づいた処罰を人事部に申請することとする。

第9章 情報セキュリティマネジメント

(リスク分析)
第37条 当社の情報資産に関するリスクアセスメントおよびリスクマネジメント全般は、情報セキュリティ委員会が行うこととする。

(ポリシー策定)
第38条 『情報セキュリティポリシー』の策定・評価・レビューは、情報セキュリティ委員会が行うこととする。情報セキュリティ委員会では、方針および対策規程を策定することとする。
② 対策手順書等に関しては、情報セキュリティ委員会より指名された各情報システムの担当者が策定し、運用しなければならない。

(対策の実施)
第39条 当社で策定した『情報セキュリティポリシー』に記述した対策は、計画的に実施しなければならない。情報システム部門は、セキュリティ対策実施のための計画書を策定し、情報セキュリティ委員会の承認を得なければならない。

(教育・啓蒙)
第40条 当社は、情報資産を扱うすべてのものに対し、意識向上と技術レベルの向上の両面から、積極的に情報セキュリティの教育を行うこととする。
② 当社の情報資産に関わるすべて者は、会社が提供する情報セキュリティの教育を受けなければならない。同時に、当社の情報資産に関わる者は、情報セキュリティに関する最新の情報について、自発的に情報セキュリティ委員に提言することとする。

(監査・評価)
第41条 情報セキュリティ委員会は、定期的あるいは発見の可能性のあるときに情報セキュリティに対する脅威および脆弱性を洗い出し、その対策を検討し『情報セキュリティポリシー』に反映させなければならない。
② 監査の結果、情報資産の利用者から届けられた情報または情報セキュリティの脆弱性に関する情報の収集等の活動から得られる情報をもとに、その対策を検討し『情報セキュリティポリシー』に反映させなければならない。

(文書の改廃)
第42条 『情報セキュリティポリシー』の改廃について、「情報セキュリティ基本方針」は、取締役会の承認を必要とする。対策規程および実施手順等は、情報セキュリティ委員会が承認・決議するものとする。

(違反時における罰則)
第43条 当社は、『情報セキュリティポリシー』の違反者に対し、厳格な措置をとることとする。情報セキュリティ委員会は、『情報セキュリティポリシー』に違反した事項の重要度を評価し、適切な措置を講じることとする。

(情報セキュリティ侵害時の対応)
第44条 当社の情報セキュリティが侵害されたと思われる事象が判明した場合は、速やかに準備された対応措置に従って対応しなければならない。

附則
平成  年  月  日 施行

スポンサーリンク



シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク