情報セキュリティ基本方針

1. 適用範囲

「情報セキュリティ基本方針」の適用範囲は、当社の情報資産に関連する人的・物理的・環境的リソースを含むものとする。

2. 適用者

社の社員・契約社員(一時雇用者を含む)を従業員と定義する。 「情報セキュリティ基本方針」の適用者は、経営陣、従業員を含めた、当社の情報資産を利用するすべての者である。

経営陣の責務

経営陣は「情報セキュリティ基本方針」の支持・支援を表明し、率先して情報セキュリティマネジメントを推進しなければならない。

従業員の責務

従業員には当社の情報資産の使用を認めるが、それは円滑な業務遂行の手段としての使用を認めることであり、私的利用を認めるものではない。
従業員は、情報資産を扱う上で、企業利益の維持・向上および顧客満足のために「情報セキュリティ基本方針」に同意し、遵守しなければならない。また、これに違反した者は、その結果について責任を負わなければならない。

外部委託業者に対する対応

「情報セキュリティ基本方針」の適用範囲内で行う作業を、外部委託業者に依頼する場合には、契約上で遵守するべきセキュリティ管理策を明確にし、セキュリティ事故時の責任に関しても明確にしなければならない。

3.「情報セキュリティ基本方針」の公開対象者

  1. 情報セキュリティ基本方針は、一般に公開する。
  2. 情報セキュリティマニュアルは該当する業務を行う者に公開とする。

4. 体制

情報セキュリティマネジメントを遂行する体制を以下の通り定める。

システムセキュリティ責任者

システムセキュリティ責任者は、システム開発部に属し、システム管理者の作業責任を有する。
システムセキュリティ責任者の役割は、システム管理者への作業指示・管理を行う。

システム管理者

システム管理者は、当社が運用するシステムの管理作業の責任を有する。
システム管理者の役割は、管理を担当する情報機器に対して、セキュリティ対策を実施する現場レベルでの責任者である。

情報セキュリティ担当者

情報セキュリティ担当者の役割は、部門内におけるセキュリティ推進及び運用の点検結果の収集担当であり、収集した情報は各部の上長へ報告する。

タスクフォース

情報セキュリティ担当者は、各作業を実施するにあたってタスクフォースを設けることができる。このタスクフォースの責任者は、いずれかの担当者とする。タスクフォースには、「情報セキュリティ基本方針」策定、緊急時対応等の作業を実施する。

5. 情報セキュリティ担当者の役割と責務

情報セキュリティ担当者の主な役割を下記の通り定める。

情報セキュリティマネジメントの企画及び計画

情報セキュリティ担当者は、当社における情報セキュリティマネジメントを実施していく企画及び計画を作成し、その計画通り情報セキュリティマネジメントを実施しなければならない。
この企画及び計画には、情報セキュリティマネジメントを遂行する為の「情報セキュリティ基本方針」の見直しや従業員への普及・啓発も考慮に入れなければならない。

「情報セキュリティ基本方針」文書の配布責任

情報セキュリティ担当者は「情報セキュリティ基本方針」を策定又は改訂した場合、迅速に対象従業員へその文書を配布し、周知徹底させなければならない。

社内教育の実施

情報セキュリティ担当者は、経営陣、従業員に対し情報セキュリティに関する継続的な社内教育を行う。この社内教育は、意識向上と技術向上の両面から実施しなければならない。

「情報セキュリティ基本方針」の遵守状況の評価及び改訂

情報セキュリティ担当者は、従業員の「情報セキュリティ基本方針」遵守状況を定期的に調査し、「情報セキュリティ基本方針」のレビューを行うこととする。また、従業の「情報セキュリティ基本方針」に対する意見や要望を収集し、その妥当性・準拠性を評価するとともに必要に応じて内容の改訂を行うこととする。

改訂

情報セキュリティ担当者は「情報セキュリティ基本方針」の妥当性を評価すると共に、必要に応じて、内容の改訂を行わなければならない。

6. 情報セキュリティマネジメント

当社は、情報資産を保護するために、情報セキュリティマネジメントを以下の通り進めることとする。

リスク分析

当社の情報資産に関するリスクアセスメント、リスクマネジメント全般は、情報セキュリティ担当者が行うこととする。

情報セキュリティポリシー策定

「情報セキュリティ基本方針」の策定・評価・レビュー、方針および対策規程の策定は情報セキュリティ担当者が行うこととする。 情報セキュリティマニュアルに関しては、情報セキュリティ担当者より指名された各情報システムの担当者が策定し、運用しなければならない。

対策の実施

当社で策定した「情報セキュリティ基本方針」に記述した対策は、計画的に実装しなければならない。 システム開発部は、セキュリティ対策実装のための計画書を策定し、情報セキュリティ担当者の承認を得なければならない。

教育・啓蒙

当社は、情報資産を扱うすべての者に対し、意識向上と技術レベルの向上の両面から、積極的に情報セキュリティ教育を行うこととする。 当社の情報資産に関わるすべての者は、当社が実施する情報セキュリティの教育を受けなければならない。
同時に、当社の情報資産に関わる者は、情報セキュリティに関する最新の情報について、自発的に情報セキュリティ担当者に提言することが望ましい。

評価

情報セキュリティ担当者は、定期的あるいは発見の可能性のあるときに情報セキュリティに対する脅威、脆弱性を洗い出し、その対策を検討し、「情報セキュリティ基本方針」に反映させなければならない。
それらは情報資産の利用者から届けられた情報、情報セキュリティの脆弱性に関する情報の収集等の活動から得られる情報をもとに行われる場合もある。

文書の改廃

「情報セキュリティ基本方針」の改廃は、代表社員の承認を必要とする。情報セキュリティマニュアルは、情報セキュリティ担当者が承認する。

7. 情報セキュリティ侵害時の対応

当社の情報セキュリティが侵害されたと思われる事象が判明した場合は、速やかに準備された対応方法に従って対応しなければならない。

8. 改訂

本方針は、令和元年9月30日に代表社員によって承認され、令和元年10月1日より施行する。

インフォポート合同会社
代表社員 松山将三郎