情報セキュリティ基本規程

情報セキュリティ基本規程

第1章 総則

(目的)

第1条 本規程は、当社の情報セキュリティ管理に関する基本的な事項を定める。

(適用範囲)

第2条 本規程は、当社が所有する情報資産を管理、利用している、または利用しようとしている全部門及び役員、従業員(パートタイマー、アルバイトを含む)に適用する

(定義)

第3条 本規程に用いる主たる用語の定義は、次のとおりとする。

情報資産 情報処理により収集・加工・蓄積される情報・データ類、情報処理に必要な情報システム資源(ハードウェア、ソフトウェア等)、情報通信ネットワーク及び情報システムとそれらを支える関連インフラの総称。情報資産には個人情報が含まれる。
情報セキュリティ 情報の機密性、完全性および可用性を維持することをいう。

・機密性とは、アクセスを許可された者のみが情報にアクセスできることを確実にすること。

・完全性とは、情報及び処理方法が、正確かつ完全であることを保護すること。

・可用性とは、許可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを確実にすること。

個人情報 個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述、または個人別に付けられた番号、画像、音声等によって当該個人を識別できるもの。
情報形態 情報が記録・保管される機器・設備の状態をいい、紙、電子媒体、電子ファイルの3つに区分される。
情報機器 情報が収集・加工・蓄積されるPC、サーバー、コピー機、Fax、電話等の機器類。
情報システム 情報機器・媒体などのハードウェア、プログラムなどのソフトウェア及び通信回線で構成される情報処理を行うシステム。
情報セキュリティ管理者 社長の任命により、全社の情報セキュリティ確保のための実施及び管理を統括する。
情報セキュリティ責任者 情報セキュリティ管理者から任命され、担当部門の情報セキュリティに関する業務遂行の責任を持つ者。
全社情報セキュリティ委員会 全社内の情報セキュリティに関する重要事項を審議・決定する会議体であり、社長を委員長として定期的に開催する。

第2章 情報セキュリティ基本方針

(基本方針)

第4条 情報セキュリティの基本方針は次のとおりとする。

1.情報資産は、当社の経営を支える重要な資源であることを全従業員が十分に認識し、情報セキュリティの確保に努めること。

2.情報資産の重要度に応じた適正な保護と有効活用を行うこと。

3.顧客情報資産に関して、当社の情報資産と同等の適正な管理を行うこと。

4.個人情報保護に関する関係法令、各省庁のガイドライン及び当社の関連規程を遵守すると共に、これらに違反した場合には厳正に対処すること。

(個人情報保護)

第5条 個人情報保護に関しては、「個人情報保護法」第3条に規定される、「個人の人格尊重を基本理念として慎重かつ適正な取扱いを行う」ものとする。

② 当社の個人情報保護に関する関連規程「個人情報保護基本規程」等に、具体的な定めがある場合にはそれに従うこと。

第3章 情報セキュリティ管理体制

(情報セキュリティ管理者)

第6条 社長は、役員の中から情報セキュリティ管理者を任命し、全社内の情報セキュリティ管理業務を統括させる。

(情報セキュリティ管理者の責務)

第7条 情報セキュリティ管理者は、全社内の情報セキュリティ確保のため以下の業務を実施する責任を負う。

② 本規程に定められた、情報セキュリティに関する事項を遵守する。

③ 従業員に対する情報セキュリティ教育・訓練を統括する。

④ 本基本規程及び関連する規程・細則・マニュアル等を管理する。

⑤ 情報セキュリティに対する、改善計画を立案し合理的な安全対策を講ずる。

⑥ 情報セキュリティ委員会を運営する。

⑦ その他、情報セキュリティ確保に効果的な業務を実施する。

(情報セキュリティ委員会)

第8条 社長を委員長とする情報セキュリティ委員会を定期的(原則として毎月1回)に開催する。

② 委員会は、全社内の情報セキュリティ確保のための重要事項を審議・決定する。

(各部門の管理体制)

第9条 情報セキュリティ管理者は、各部門の情報セキュリティ管理を実施する情報セキュリティ責任者を任命する。

② 情報セキュリティ責任者は、必要に応じて「部門別情報セキュリティ委員会」を開催し、必要事項の連絡及び決定等を行う。

(情報セキュリティ責任者の責務)

第10条 情報セキュリティ責任者は、担当部門の情報セキュリティ確保のため下記の業務を遂行する責任を負う。

(ア)本規程に定められた、情報セキュリティに関する事項を遵守すること。

(イ)担当部門の従業員に対する情報セキュリティ教育・訓練を実施すること。

(ウ)情報セキュリティに対する、改善計画を立案し合理的な安全対策を実施すること。

(エ)部門別情報セキュリティ委員会を運営すること。

(オ)その他、情報セキュリティ管理者から指示のあった業務を実施すること。

第4章 情報資産の分類とリスク評価

(情報資産の分類と管理)

第11条 情報セキュリティ管理者は、機密管理規程に基づき情報資産の機密分類を行い適正な管理を実施する。

② セキュリティ管理者は、定期的に情報資産の棚卸、機密分類の見直しを実施する。

③ 情報資産は機密分類に基づきラベル付けを行う。

(情報資産の棚卸しとリスク評価)

第12条 情報セキュリティ管理者は、管理対象となる情報資産の棚卸しを定期的に行い、その情報資産の価値を把握し、また、その情報資産に対して発生可能性のある自然発生的災害・故障及び人為的故意・過失によってもたらされる脅威の大きさを把握し、情報資産のリスクを評価する。

第5章 情報資産の管理

(情報資産の調達)

第13条 情報セキュリティ管理者は、基本方針に基づき、セキュリティ管理を実現する上で必要な情報システム資源・設備の導入を主導する。

② アウトソーシングサービスを活用する場合には、定められた手順を遵守する。

(日常管理監督)

第14条 情報セキュリティ責任者は、担当部門で情報セキュリティが確保されていることを管理監督し、必要に応じてその結果を記録する。

② セキュリティ事故の発生に備え、重要な情報資産についてはデータ更新の都度バックアップを取っておく。

(情報資産の持出し)

第15条 報セキュリティ責任者は、情報資産が記録されている機器、情報媒体等を社外に持出す場合には、漏えい、改ざん、盗難、紛失等が生じないような安全対策を実施する。

② 情報セキュリティ責任者は、情報資産の持出手順を定め、その手順に従い適切な管理が行われるように指導監督する。

(情報資産の廃棄)

第16条 情報セキュリティ責任者は、重要な情報を記録保管した装置・媒体に対しては、物理的にデータ域を破壊するか、データ域を確実に上書きした後に廃棄処分する。

② 記憶媒体(ハードディスク等)を内蔵している装置に対して、その全ての部品をチェックし、重要なデータやライセンス供与のソフトウェアが完全に削除または上書き消去されていることを確認した後に廃棄処分する。

(アウトソーシング)

第17条 情報セキュリティ管理者は、情報システム、情報資産の管理及び運用をアウトソーシングする場合、相手先との間で当社機密管理規程に基づく機密保持契約を取り交わすこと。

(業務委託先等の管理)

第18条 情報セキュリティ責任者は、セキュリティ管理に関する必要事項を、システムの利用を希望する関連会社及び業務委託先等へ提示し遵守させる。

② 情報セキュリティ責任者は、関連会社及び業務委託先等が、セキュリティ管理の関連規程に対する違反を行った場合は、直ちに必要な処置をとる。

③ 情報セキュリティ責任者は、関連会社及び業務委託先等との間で機密管理規程に基づく機密保持契約を取り交わすこと。

第6章 人的管理

(教育及び訓練)

第19条 情報セキュリティ責任者は、担当部門の従業員に対して情報セキュリティに関する社内教育を実施し、情報セキュリティに関する関係法令及び本基本規程を含む社内規程・細則を理解・遵守させることに努める。

(機密保持契約)

第20条 人事担当部門は、派遣社員、協力社員を起用し業務を遂行させる場合、機密保持に係わる契約を締結し、本規程の遵守を明記する。

第7章 アクセス管理

(アクセス管理の基本原則)

第21条 従業員は、業務上必要がある場合に所属する部門のシステム管理者に情報資産へのアクセスを問合わせる。

② システム管理者は、ユーザID、パスワード等によって本人確認を行った上で、あらかじめ許可を与えたものに対してアクセスを認める。

③ 従業員は、知り得た情報資産を業務遂行の目的のみに利用し、許可された者以外に開示してはならない。

④ 従業員は、ユーザID、パスワードを適切に管理しなければならない。

(システムのアクセス管理)

第22条 第三者による不正なアクセスを防止するため、侵入検知・監視システムの導入、ネットワークの分離・接続制御及びアクセス経路の統一等適切な管理を実施する。

(リモートアクセス)

第23条 社外からネットワークを介して当社の情報資産にアクセスする場合には、定められた手続きにより申請を行う。

第8章 通信

(通信手段の選択)

第24条 通信対象となる情報資産の重要度を考慮して、適切な通信手段を選択する。

(電子メール)

第25条 電子メールを使用する場合は、漏えい、改ざんのリスクを考慮し、対象となる情報資産の重要度によっては、利用可能な別の通信手段を用いることを検討する。

② 個人情報が含まれる情報通信には、電子メールを使用してはならない。緊急時等でやむを得ず利用する場合には、暗号化処理を実施すること。

(Fax)

第26条 Faxを通信手段として利用する場合には、送信前後に相手と電話連絡を取り交わし、安全確保に努めなければならない。

第9章 情報システムの利用者の責務

(情報システム利用者の義務)

第27条 当社の役員及び従業員は、情報システム利用にあたり以下の事項を遵守する。

(ア)情報システムの利用者は、本基本規程及び関連規程を遵守する。

(イ)情報システムの利用者は、常にクリアースクリーン・クリアーデスクを遵守するとともに、情報漏えい防止に努める。

(ウ)情報システムの利用者が本規程に違反した場合には、就業規則等に定める罰則が適用される。

(エ)情報システムの利用者は、当社が実施する情報セキュリティに関する教育・訓練を定期的に受講し、セキュリティ意識の向上と適正な管理運用に努める。

(セキュリティ事故発生時の対応)

第28条 従業員は、セキュリティ欠陥、ソフトウェア誤動作及びセキュリティ事故等を発見した場合、速やかに情報セキュリティ責任者へ報告しその指示に従う。

第10章 重大事故への対応

(重大事故への対応)

第29条 システム事故の発生に備え、その対応手順については「情報危機管理細則」で定める。

② 重大事故が発生した場合、情報セキュリティ管理者は、社長を委員長とする「緊急対策委員会」を招集し、事故の拡大防止に努めるとともに全社的な復旧対策の立案をする。

(事故復旧活動)

第30条 あらかじめ策定された「情報危機管理細則」に従い復旧活動を推進する。

② 復旧活動の期間中、原因究明及び再発防止のためにアクセスログなど必要な記録・証拠を確保する。

第11章 内部監査

(内部監査の実施)

第31条 監査責任者は、定期的に本社部門及び各支店・営業所部門の情報セキュリティ管理の監査を行う。監査結果は、全社情報セキュリティ委員会に報告する。

(改善活動の実施)

第32条 本社部門及び各支店・営業所部門は、情報セキュリティ監査の改善勧告に基づき、情報セキュリティ管理の改善計画を立案し、監査責任者及び全社情報セキュリティ委員会に報告する。

② 本社部門及び各支店・営業所部門は、情報セキュリティ責任者を中心にセキュリティ監査結果に基づく、改善勧告の実施についてフォローアップを確実に行う。

第12章 基本規程の見直し

(基本規程の見直し)

第33条 本規程の見直しは、情報セキュリティ管理者が立案し社長の承認を得るものとする。

附則

平成  年  月  日 施行

シェアする

  • このエントリーをはてなブックマークに追加

フォローする