情報セキュリティ基本方針
(目的)
(情報セキュリティ対策の体系)
(定義)
(対象とする脅威)
(適用範囲)
(当社役員・社員等の義務)
(組織的な対策:組織体制等の整備)
(組織的な対策:情報資産の分類と管理)
(組織的な対策:管理状況の点検および監査)
(組織的な対策:情報セキュリティインシデントへの対応)
(物理的な対策)
(人的な対策)
(技術的な対策)
(罰則)
(本方針の改廃)
(施行)
(更新履歴)
制定 2019年8月1日
変更 2022年6月1日 (変更理由)条項体系整理
第1条
企業が保有する情報資産を適切に保護することは、企業の社会的責任であり、その情報資産を適切に利用することは、企業の競争力の源泉である。特に情報技術(IT)の進展によるシステムの分散化、ネットワーク化等に象徴される今日の高度情報化社会において、当社および当社関係会社(以下、「当社」という。)が保有する情報資産は、業務を遂行するための根幹となる極めて重要な役割を果たしており、その保護ならびに安全な利用は、事業活動の基礎的な要件となっている。
情報セキュリティ基本方針(以下、「本方針」という。)は、当社の情報資産の適切な保護と利用についての基本的な取組方針を定めるものであり、業務を遂行する上で遵守すべき必要かつ最低限の規程である。
本方針が有効に機能するよう経営者を含む全ての役員および従業員(受入出向者および契約社員等を含む。以下、「役員・社員等」という。)がこれに関与し、支持しなければならない。
情報セキュリティ基本方針(以下、「本方針」という。)は、当社の情報資産の適切な保護と利用についての基本的な取組方針を定めるものであり、業務を遂行する上で遵守すべき必要かつ最低限の規程である。
本方針が有効に機能するよう経営者を含む全ての役員および従業員(受入出向者および契約社員等を含む。以下、「役員・社員等」という。)がこれに関与し、支持しなければならない。
(情報セキュリティ対策の体系)
第2条
当社は、本方針に基づき、情報セキュリティ管理規程(以下、「管理規程」という。)および情報セキュリティに関する実施手順(以下、「実施手順」という。)を定める。
(1) 管理規程
本方針に基づき、情報セキュリティ対策を確実に実施するための基本的な枠組みと、必要最低限の水準を維持するために遵守すべき事項ならびに判断基準を定めたものである。
(2) 実施手順
管理規程に基づき、情報セキュリティ対策確実に実施するために具体的な手順を定めたものである。
(1) 管理規程
本方針に基づき、情報セキュリティ対策を確実に実施するための基本的な枠組みと、必要最低限の水準を維持するために遵守すべき事項ならびに判断基準を定めたものである。
(2) 実施手順
管理規程に基づき、情報セキュリティ対策確実に実施するために具体的な手順を定めたものである。
(定義)
第3条
本方針における各用語の定義を次に定める。
(1) 情報
当社が保有または作成する全ての情報をいい、公開・非公開の別や形態(紙文書や電子 データ上の情報、映像・音声情報等)を問わない。
(2) 情報資産
情報、情報の取扱いに係る当社のシステム・機器類・記録媒体等、システム・機器類・記録媒体等を保護し正常に稼動させるために必要な施設・設備、システム開発・運用に関わる要員やドキュメント等を含む全てをいう。
(3) システム
コンピュータ関連のハードウェア、ソフトウェアおよびネットワーク等をいう。
(4) 機器類
情報の記録・保存・伝送等を行うために利用する機器類(システムを除く)をいう。
(5) 記録媒体等
紙媒体(情報を記録・保存している帳票等の紙)および記録媒体(情報を記録・保存する媒体で、紙媒体以外のもの)をいう。
(6) 情報セキュリティ
当社の情報資産を様々な脅威(災害、故障、誤処理、漏えい、盗難、不正利用、破壊、改ざん等)から保護することをいう。
(7) 情報管理
情報セキュリティ対策の実施等を通じた情報資産の機密性・完全性・可用性(以下に定 義)の確保、個人情報に係る情報主体からの開示請求への対応等、当社の情報資産の適切な保護と利用に係る全ての行為をいう。
①機密性:アクセスを認可された者だけが情報資産にアクセスできることを確実にすること
②完全性:情報および処理方法が正確であることおよび完全であることを保護すること
③可用性:認可された利用者が必要な時に情報資産にアクセスできることを確実にすること
(1) 情報
当社が保有または作成する全ての情報をいい、公開・非公開の別や形態(紙文書や電子 データ上の情報、映像・音声情報等)を問わない。
(2) 情報資産
情報、情報の取扱いに係る当社のシステム・機器類・記録媒体等、システム・機器類・記録媒体等を保護し正常に稼動させるために必要な施設・設備、システム開発・運用に関わる要員やドキュメント等を含む全てをいう。
(3) システム
コンピュータ関連のハードウェア、ソフトウェアおよびネットワーク等をいう。
(4) 機器類
情報の記録・保存・伝送等を行うために利用する機器類(システムを除く)をいう。
(5) 記録媒体等
紙媒体(情報を記録・保存している帳票等の紙)および記録媒体(情報を記録・保存する媒体で、紙媒体以外のもの)をいう。
(6) 情報セキュリティ
当社の情報資産を様々な脅威(災害、故障、誤処理、漏えい、盗難、不正利用、破壊、改ざん等)から保護することをいう。
(7) 情報管理
情報セキュリティ対策の実施等を通じた情報資産の機密性・完全性・可用性(以下に定 義)の確保、個人情報に係る情報主体からの開示請求への対応等、当社の情報資産の適切な保護と利用に係る全ての行為をいう。
①機密性:アクセスを認可された者だけが情報資産にアクセスできることを確実にすること
②完全性:情報および処理方法が正確であることおよび完全であることを保護すること
③可用性:認可された利用者が必要な時に情報資産にアクセスできることを確実にすること
(対象とする脅威)
第4条
情報資産に対する脅威として、以下のものを想定し、情報セキュリティ対策を実施する。
(1) 部外者の侵入、不正アクセス、ウィルス攻撃、サービス不能攻撃等の要因による情報資産の漏えい、破壊、改ざん、消去および不正な操作等
(2) 情報資産の盗難、紛失、無断持出し、ウィルス感染、無許可ソフトウェアの利用等の規定違反、プログラム上の欠陥、人為的なミス、故障等の要因による情報資産の漏えい、破壊、消去等
(3) 地震、落雷、火災、風水害等の災害や突発的な停電によるサービスおよび業務の停止、情報資産のき損、喪失等
(1) 部外者の侵入、不正アクセス、ウィルス攻撃、サービス不能攻撃等の要因による情報資産の漏えい、破壊、改ざん、消去および不正な操作等
(2) 情報資産の盗難、紛失、無断持出し、ウィルス感染、無許可ソフトウェアの利用等の規定違反、プログラム上の欠陥、人為的なミス、故障等の要因による情報資産の漏えい、破壊、消去等
(3) 地震、落雷、火災、風水害等の災害や突発的な停電によるサービスおよび業務の停止、情報資産のき損、喪失等
(適用範囲)
第5条
本方針の適用対象は、当社役員・社員等とする。
(当社役員・社員等の義務)
第6条
当社役員・社員等は、情報セキュリティの重要性について共通の認識を持ち、業務遂行にあたって本方針、管理規程および実施手順を遵守しなければならない。
当社は、外部委託先社員や派遣社員等、当社と直接雇用契約がない者に対しても、外部委託契約や守秘義務契約等の締結、誓約書の徴求等により、本方針に準拠した行動を求めるものとする。
当社は、外部委託先社員や派遣社員等、当社と直接雇用契約がない者に対しても、外部委託契約や守秘義務契約等の締結、誓約書の徴求等により、本方針に準拠した行動を求めるものとする。
(組織的な対策:組織体制等の整備)
第7条
当社は、保有する情報資産の安全性の確保および信頼性の向上に資するため、以下の管理体制を整備し、組織的な対策を講じる。
(1) トップマネジメント
当社の情報セキュリティ対策に関する諸事務を総括し、最終決定の責任を負う者として、代表取締役社長を当社におけるトップマネジメントと定義する。
(2) 情報セキュリティ責任者
当社の情報セキュリティ対策に関する諸事務を総括し、全社の管理態勢の整備、推進、 管理等を行い、情報セキュリティ事務局を統括する責任を負う者として、情報管理担当役員を情報セキュリティ責任者とする。
情報管理担当役員は、代表取締役社長が選任、任命する。
(3) 内部監査責任者
当社の情報セキュリティ対策の監査に関する諸事務を総括する者として、役員または執行役員を内部監査責任者とする。
(4) システム管理者
当社のシステムおよびネットワーク基盤を企画、設計、調達、開発、運用、保守等を行うシステム部門の社員をシステム管理者とする。
またシステム部門長をシステム管理者の統括者とする。
(5) 情報セキュリティ事務局
情報セキュリティ責任者の指示等を受け、当社の情報セキュリティ対策の企画・検討、推進・改善の支援と、情報セキュリティ委員会事務局の運営等を行う組織を情報セキュリティ事務局とする。
(6) 情報セキュリティ委員会
当社の情報セキュリティ対策に関する課題の連絡・報告、是正や予防措置の対応方針の討議・決定、各種情報の連携等を行う組織を情報セキュリティ委員会とし、上記(1)から(3)の責任者および情報セキュリティ責任者により許可された者を委員とする。
また、情報セキュリティ事務局が委員会事務局として運営にあたる。
(1) トップマネジメント
当社の情報セキュリティ対策に関する諸事務を総括し、最終決定の責任を負う者として、代表取締役社長を当社におけるトップマネジメントと定義する。
(2) 情報セキュリティ責任者
当社の情報セキュリティ対策に関する諸事務を総括し、全社の管理態勢の整備、推進、 管理等を行い、情報セキュリティ事務局を統括する責任を負う者として、情報管理担当役員を情報セキュリティ責任者とする。
情報管理担当役員は、代表取締役社長が選任、任命する。
(3) 内部監査責任者
当社の情報セキュリティ対策の監査に関する諸事務を総括する者として、役員または執行役員を内部監査責任者とする。
(4) システム管理者
当社のシステムおよびネットワーク基盤を企画、設計、調達、開発、運用、保守等を行うシステム部門の社員をシステム管理者とする。
またシステム部門長をシステム管理者の統括者とする。
(5) 情報セキュリティ事務局
情報セキュリティ責任者の指示等を受け、当社の情報セキュリティ対策の企画・検討、推進・改善の支援と、情報セキュリティ委員会事務局の運営等を行う組織を情報セキュリティ事務局とする。
(6) 情報セキュリティ委員会
当社の情報セキュリティ対策に関する課題の連絡・報告、是正や予防措置の対応方針の討議・決定、各種情報の連携等を行う組織を情報セキュリティ委員会とし、上記(1)から(3)の責任者および情報セキュリティ責任者により許可された者を委員とする。
また、情報セキュリティ事務局が委員会事務局として運営にあたる。
(組織的な対策:情報資産の分類と管理)
第8条
当社の保有する情報資産について、機密性、完全性および可用性を確保するために重要度の分類を設定し、当該分類に基づき情報資産の管理および取扱方法等について具体的に定め、実効的な情報セキュリティ対策を行う。
(組織的な対策:管理状況の点検および監査)
第9条
管理規程および実施手順の遵守状況を検証するため、定期的および必要に応じて点検および監査を実施する。
(組織的な対策:情報セキュリティインシデントへの対応)
第10条
情報資産への侵害等、情報セキュリティ事故・障害が発生した場合に迅速かつ適切に対応するため、情報セキュリティインシデント対応組織を整備する。
(物理的な対策)
第11条
正当なアクセス権限を有しない者による当社情報資産への不正アクセスや漏えい等を防ぐため、施設、情報機器、通信回線および記録媒体等について、物理的な対策を講じる。
(人的な対策)
第12条
情報資産の漏えいや不適切な利用等の発生を未然に防止するため、当社役員・社員等の役割および責任の明確化、教育および啓発の実施、遵守状況の点検および監査、違反行為に対する厳正な対処、懲戒等の人的な対策を講じる。
(技術的な対策)
第13条
情報資産の適正な稼動等を確保するため、コンピュータ等の管理、アクセス制御の管理、不正プログラム対策、不正アクセス対策等の技術的な対策を講じる。
(罰則)
第14条
当社社員等が、本方針、管理規程および実施手順の遵守義務を怠り、その結果として当社に損害を与えた場合には、当社の「就業規則」に照らして制裁の対象とする。
また、外部委託先社員や派遣社員等、当社と直接雇用契約がない者に対しては、契約時の規定に従って損害賠償等の措置をとる。
また、外部委託先社員や派遣社員等、当社と直接雇用契約がない者に対しては、契約時の規定に従って損害賠償等の措置をとる。
(本方針の改廃)
第15条
本方針の改廃は、情報セキュリティ事務局が起案し、情報セキュリティ委員会で討議・決定する。
本方針は、情報セキュリティに関する点検および監査の結果ならびに情報セキュリティに関する状況等の変化への対応が必要となった場合に、見直しを行う。
本方針は、情報セキュリティに関する点検および監査の結果ならびに情報セキュリティに関する状況等の変化への対応が必要となった場合に、見直しを行う。
(施行)
第16条
本方針は、2022年6月1日より施行する。
(更新履歴)
制定 2019年8月1日
変更 2022年6月1日 (変更理由)条項体系整理
以上
株式会社OZ1
情報セキュリティ責任者
株式会社OZ1
情報セキュリティ責任者