情報セキュリティポリシー

ネットサポート株式会社 情報セキュリティポリシー

1.目的

本基本方針は、弊社が保有する情報資産の機密性、完全性及び可用性を維持するため、弊社が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。

2.定義

1)ネットワーク
コンピュータ等を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)をいう。

2)情報システム
コンピュータ、ネットワーク及び電磁的記録媒体で構成され、情報処理を行う仕組みをいう。

3)情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。

4)情報セキュリティポリシー
本基本方針及び情報セキュリティ対策基準をいう。

5)機密性
情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。

6)完全性
情報が破壊、改ざん又は消去されていない状態を確保することをいう。

7)可用性
情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。

8)インターネット接続系
インターネットメール、ホームページ管理システム等に関わるインターネットに接続された情報システム及びその情報システムで取り扱うデータをいう。

9)無害化通信
インターネットメール本文のテキスト化や端末への画面転送等により、コンピュータウイルス等の不正プログラムの付着が無い等、安全が確保された通信をいう。

3.対象とする脅威

情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。

・不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等

・情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等

・地震、落雷、火災等の災害によるサービス及び業務の停止等

・大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等

・電力供給の途絶、通信の途絶等のインフラの障害からの波及等

4.適用範囲

本基本方針が対象とする情報資産は、次のとおりとする。

1)ネットワーク、情報システム及びこれらに関する設備、電磁的記録媒体
2)ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む。
3)情報システムの仕様書及びネットワーク図等のシステム関連文書

5.従業員の遵守義務

従業員 (弊社正社員、嘱託社員、派遣社員を含む。以下「従業員」という。)は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって情報セキュリティポリシー及び情報セキュリティ実施手順を遵守しなければならない。

6.情報セキュリティ対策

上記3の脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。

1)組織体制
弊社の情報資産について、情報セキュリティ対策を推進する全庁的な組織体制を確立する。

2)情報資産の分類と管理
弊社の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を実施する。

3)情報システム全体の強じん性の向上
情報システム全体に対し、以下の対策を講じる。

・顧客情報を保管するサーバへのアクセスは、強固なパスワードを設定し、接続時には記録を残すこととする。

・物理的セキュリティ
サーバ等、情報システム室等、通信回線等及び職員等のパソコン等の管理について、物理的な対策を講じる。

・人的セキュリティ
情報セキュリティに関し、従業員が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講じる。

・技術的セキュリティ
コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。

・運用
情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、情報セキュリティポリシーの運用面の対策を講じるものとする。また、情報資産に対するセキュリティ侵害が発生した場合等に迅速かつ適正に対応するため、緊急時対応計画を策定する。

・外部サービスの利用
外部委託する場合には、外部委託事業者を選定し、必要なセキュリティ対策が確保されていることを確認し、必要に応じて独自でセキュリティ強化の措置を講じる。

・評価・見直し
情報セキュリティポリシーの遵守状況を検証するため、必要に応じて情報セキュリティ監査及び自己点検を実施し、運用改善を行い情報セキュリティの向上を図る。情報セキュリティポリシーの見直しが必要な場合は、随時見直しを行う。

7.情報セキュリティ監査及び自己点検の実施

情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。

8.情報セキュリティポリシーの見直し

情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、情報セキュリティポリシーを見直す。

9.情報セキュリティ対策基準の策定

上記6、7及び8に規定する対策等を実施するために、具体的な遵守事項及び判断基準等を定める情報セキュリティ対策基準を策定する。
なお、情報セキュリティ対策基準は、公にすることにより弊社の行政運営に重大な支障を及ぼすおそれがある技術的内容を含むことから非公開とする。

10.情報セキュリティ実施手順の策定

情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定するものとする。
なお、情報セキュリティ実施手順は、公にすることにより弊社の行政運営に重大な支障を及ぼすおそれがあることから非公開とする。

2006年6月1日

ネットサポート株式会社