情報セキュリティ基本方針

(1)社長の指針

社長は、「情報セキュリティに関する取り組み方針」を策定し、社内に掲げると共に、パンフレットやホームページなどで一般に公表する。

(2)情報セキュリティ活動と組織

情報資産を保護するため経営戦略と整合した情報セキュリティの活動を実施する。そのための組織を編成し責任者を定める。

(3)アクセスの制限

情報や設備など情報資産に対するアクセス権限を与える際、業務上必要な者のみ、また必要な権限のみを与える。

(4)情報資産の管理

情報資産の管理手順を定め、全ての情報資産について管理する責任者を指名する。指名された責任者は、管理手順に従って適切に管理する。

(5)リスクマネジメント

情報資産の保護、作業プロセス上のセキュリティ事故を防止のため、リスクマネジメント手法を確立し、リスクの分析、評価、対応策に関するリスク管理者(リスクオーナー)を定め、リスクマネジメントを実施する。

(6)監視

情報資産が適切に取り扱われ、管理されていることを、継続的に監視する。そのためルールを定め、実施の責任者を任命する。

(7)セキュリティ事故への対応

情報セキュリティに関する事件・事故の発見者は、速やかに責任者にその内容を報告する仕組みを構築、また報告を受けた責任者は事故の原因を分析し、必要に応じて再発防止策を講じる手順を定める。

(8)事業継続管理

災害や故障など事業継続を阻害する要因及び発生程度を分析し、適切な防止対策を講じると共に、万一発生した場合には事業の中断を最小限に抑え、目標時間内に復旧する手段、方法を備える。

(9)教育

社員、及び当社事業を支援する協力会社の社員に対して、職務に必要な情報セキュリティ教育を実施する。

(10)法律・規制などへの遵守

情報セキュリティに関する法律・規制、契約上の要求事項を遵守し、各種社内規程類･ルールに従う。

(11)継続的改善

上記の各基本方針に則り、計画、実施、監視、改善のサイクルを継続することにより、情報セキュリティマネジメントシステムの維持、改善に努める。