情報セキュリティポリシー概要
当社グループは、以下の通り、情報セキュリティポリシーを掲げ、各種業務に取り組んでいます。
以下は当社グループの情報セキュリティポリシーの一部抜粋となります。
目的
当社グループにおける情報セキュリティの基準を定め、情報資産の取扱において関係者が遵守すべき基準を提供すること。
情報資産のリスク管理
情報資産を取り扱う者は、情報資産に対するリスクの発生を最低限に抑え、発生した場合の影響範囲を最小限にするよう、情報資産についてリスク分析を行ってリスク内容を特定し、管理策を実施する。管理策は情報資産の重要度とリスクの程度に応じた内容とし、運用上支障が生じる場合は、同等のコントロールを持つ適切な代替策を講じるものとする。
情報セキュリティ文書の管理
情報セキュリティの設定に係る文書類は、鍵のかかった場所にて適切に管理されるようにする。
サーバなど設置場所の対策
資産の損失、損傷、劣化、業務活動に対する妨害を防止するため、重要データが保管されているサーバなどに対して、以下のような管理策を実施する。
- ①火災・地震・水害などの災害および防犯対策が施された、セキュリティの確保された場所(施錠ラックなど)に設置する。
- ②主要な装置の電源ケーブルや通信ケーブルの配線を傍受または損傷から保護する。
- ③主要な装置を停電・その他の電源異常から保護する。
- ④主要な装置が不正に利用・閲覧されないような対策を実施する。
- ⑤主要な装置についての継続的な可用性、完全性を維持するための保守を実施する。
ネットワーク管理策の実施
各システムのユーザ責任者・開発責任者・運用責任者・保守責任者は、ネットワークにおける情報セキュリティを実現し、維持するために以下の一連の管理策を実施する。
- ①ネットワークに接続したサービスを、無認可のアクセスから確実に保護する。
- ②ネットワーク機器におけるアクセス権限を設定する。
- ③各PCにウィルス対策ソフトを導入し、定期的にパッチを当てているか定期的に連絡を入れる。
システムアクセスの監視
認可されていない活動を検出するために例外事項、その他のセキュリティに関連した事象について記録し、将来の調査およびアクセス制御の監視を補うために、適切な期間保存し、定期的にレビューする。また、システムログには改ざん防止のためのアクセス制御をおこなう。
