That'z IT

情報セキュリティ管理規程

第1版 発行日:2024年10月11日

第1章 総則

第1条(目的)

本規程は、当社が取り扱う情報資産の機密性、完全性、および可用性を確保し、情報セキュリティインシデントの防止、対応、及び再発防止を実現することを目的とする。

第2条(適用範囲)

本規程は、当社の全従業員(正社員、契約社員、派遣社員を含む)および当社が業務を委託する全ての関係者に適用する。また、外部委託先および関連会社も含め、情報セキュリティの遵守を義務付ける。

第2章 情報セキュリティ方針

第1条(情報セキュリティ基本方針)

  1. 当社は、情報セキュリティの重要性を認識し、情報資産を保護するための管理体制を確立・維持する。
  2. 情報セキュリティに関する法律、規制、契約要求事項を遵守する。
  3. 情報セキュリティ教育を従業員および関係者に対して実施する。

第2条(責任と権限)

  1. 代表取締役は情報セキュリティに関する最終責任を負う。

  2. 以下の基準を満たす最高情報セキュリティ責任者(CISO)を任命する。

    ①CISSP(Certified Information Systems Security Professional)または同等の資格を保有していること。

    ②情報セキュリティおよび関連分野での5年以上の実務経験があること。

  3. CISOは情報セキュリティの実施、運用、リスク評価を管理する責任を持つ。

第3章 技術的及び物理的対策

第1条(データ保護)

  1. 情報の機密性に応じてデータを以下の4段階に分類する。

    ①極秘(Top Secret):暗号化必須、特定端末外での保持禁止、外部転送禁止

    最も機密性の高く、漏洩すると甚大な被害を引き起こす可能性がある情報。

    ②秘(Secret):暗号化必須、社内の許可された宛先への転送許可、外部転送禁止

    極秘ほどではないが、外部および社内の関係者への漏洩を厳格に防ぐべき情報。

    ③社外秘(Confidential):暗号化必須、社内のみ転送許可、外部転送禁止

    社内に限定して共有されるべき情報。

    ④公開(Public):暗号化任意、外部転送許可

    社内および社外に公開しても問題のない情報。

  2. 機密度に応じて、以下の適切な対策を講じる。

    ①外部へのデータ送信を原則禁止し、必要に応じて事前承認を得ること。

    ②ディスク上に保存されるデータは暗号化を義務付ける。

    ③アクセス制御を強化し、権限を持つ者のみがデータにアクセスできるようにする。

    ④機密データの印刷や物理的持ち出しを制限する。

  3. 分類に応じた取り扱い方法を定期的に見直し、必要に応じて更新する。

第2条(インターネット接続システムの管理)

  1. 外部からの攻撃にさらされる危険性のあるインターネット接続システムに対しては、以下の対策を講じる。

    ①通信経路の限定

    ②侵入防止機器(IPS/IDS)の設置

    ③不正な通信の監視

  2. 定期的な脆弱性検査を実施する。
  3. データの分類に基づき、保護の優先順位を明確化する。

第3条(機器及び媒体の管理)

  1. 機器・媒体の持ち出し、データ消去、廃棄について以下の内容を定め、適切に運用する。

    ①機器・媒体を持ち出す場合、事前に上長の承認を得ること。

    ②許可された機器・媒体以外へのデータの持ち出しを禁止する。

    ③データ消去は、国際規格に準拠した専用ソフトウェアまたは物理的手段で実施すること。

    ④廃棄する機器・媒体は、専門業者を利用し、安全に処理すること。

    ⑤機器・媒体を持ち出す場合、事前に上長の承認を得ること。

  2. 盗難防止策を講じる。

第3条(セキュリティパッチ及びアカウント管理)

  1. 情報機器に対して最新のセキュリティパッチを適用する。
  2. 不必要なアカウントの削除と権限管理を徹底する。
  3. セキュリティインシデント発生時に備え、ログを取得・保管する。

第4章 運用管理

第1条(業務環境の管理)

  1. 業務環境を以下のように定める。

    ①業務内容に応じて許可された場所以外での業務を禁止する。

    ②許可された業務環境には、物理的および技術的なセキュリティ対策を講じることを義務付ける。

  2. 機密情報を扱う区域を明確にし、適切な対策を講じる。

第2条(個人端末の利用)

  1. 業務で個人PCを使用することを原則禁止する。ただし、特別な許可がある場合を除く。
  2. 個人端末を使用する場合は、企業が指定するセキュリティツールの導入を義務付ける。

第3条(クラウドサービスの利用)

  1. 業務外でのクラウドサービス利用を禁止する。
  2. 業務で使用するクラウドサービスは、事前に承認されたものに限る。

第5章 教育及び監査

第1条(情報セキュリティ教育)

  1. 情報セキュリティ教育プログラムに以下を含む。

    ①フィッシング詐欺対策のシミュレーション

    ②情報漏洩時の対応手順

    ③最新のセキュリティ脅威に関する情報

    ④情報セキュリティ管理規程について

    ⑤データ保護

    ⑥アクセス制御

    ⑦ソーシャルエンジニアリング

    ⑧法令・規制の遵守

  2. 教育の効果を定期的に評価し、必要に応じて改善を図る。

第2条(監査及び改善)

  1. 情報セキュリティの実施状況を定期的に監査する。
  2. 監査結果に基づき、体制の改善を図る。

第6章 インシデント対応

第1条(インシデント発生時の対応)

セキュリティインシデント発生時の対応手順を以下の通り定める。

①インシデントを検知し、影響範囲を特定するとともに、関係部署に迅速に報告する。

②影響を受けたシステムやネットワークを隔離し、被害拡大を防止する。

③原因を特定し、システムを復旧するとともに、必要に応じて脆弱性を修正する。

④関係者および規制当局へ状況を報告し、再発防止策を実施する。

第2条(報告義務)

  1. 全従業員は、情報セキュリティに関連する異常を発見した場合、速やかに報告しなければならない。
  2. 報告は速やかに情報セキュリティ管理窓口および上長に対して行うものとする。

第7章 附則

第1条(規程の改定)

本規程は、必要に応じて改定し、全従業員に周知する。

以上