ITPoricy をテンプレートにして作成 開始行: * 情報セキュリティポリシー 草案 [#e86fccb5] ** 違反時における罰則 [#z7a9cd31] 当社は、『情報セキュリティポリシー』の違反者に対し、厳... 情報セキュリティ委員会は、『情報セキュリティポリシー』... 当社の情報セキュリティが侵害されたと思われる事象が判明... ** プライバシー及び個人を特定できる情報の保護 [#i3ce3d78] 顧客の個人情報(以下「顧客情報」とする)を適切に収集・... 顧客情報を取り扱うすべてのコンピュータ及び媒体を対象と... ** (4.2.1 顧客情報を取り扱う部門の特定) [#e90ddea4] 現在は部門の特定を必要としないため省略。 ** (4.2.2 顧客情報管理責任者の設置) [#ead5b828] 現在は部門ごとの責任者を設置しないため省略。 ** 顧客情報保護方針の公開 [#n0589145] 顧客情報管理責任者は、顧客情報を広く一般から収集する場... 顧客情報保護方針には、下記に記載される遵守事項の内容お... ** 顧客情報の収集と保管、破棄 [#icb933af] 顧客情報の収集時には、顧客に対して利用目的を明示し、顧... 客から同意を得なければなりません。 収集した情報を顧客に明示した利用目的以外の利用をしては... 顧客情報に対する登録・参照・変更・削除の実施可能な者を... 顧客情報を利用する場合、正確な情報を利用しなければなら... 顧客情報のバックアップを実施しなければなりません。バッ... 顧客から当該顧客の顧客情報に関する開示・訂正・削除の要... 顧客情報を廃棄する場合、第三者の目にさらされないように... ** 顧客からのクレーム処理 [#b79379d5] 当社の業務において顧客からクレームを受けた場合には、い... 顧客情報が漏えいしてしまったなど、必要がある場合、情報... ** 情報セキュリティ教育 [#nfdb9a66] 情報セキュリティ意識の向上のため、情報資産に携わってい... ** 教育の計画立案 [#v42ffaf1] 情報セキュリティ委員会は、対象者およびタイミング、もし... *** 一般説明会 [#ie96770a] 情報セキュリティ委員会は、年に1回、情報資産に携わるす... *** 再教育 [#r1f9cf5b] 情報セキュリティ委員会は、情報セキュリティ違反者に対し... *** 新入社員、中間採用者への教育 [#t3f5038f] 情報セキュリティ委員会は、新入社員、中間採用者に対して... *** (社内異動者への教育) [#tbb9f165] 省略。 *** (契約社員および協力会社への教育) [#p0d27259] 省略。 ** 教育の実施 [#afddd922] 情報セキュリティ委員会は、情報資産に携わるすべての人に... *** 教育内容 [#acbb88f0] ・当社の情報セキュリティ方針 ・情報セキュリティの問題のもつ意味を理解 ・組織や個人の情報セキュリティの重要性 ・情報セキュリティ対策 ・情報セキュリティ計画 ・データ所有者の責任 ・モラル教育 ・法令、規則等の違反、罰則に関する事項 ・禁止行為に関しての教育他 ・最新の情報 *** 再教育 [#cf686b25] 情報セキュリティ委員会は、情報セキュリティ違反者に対し... *** 新入社員、中間採用者への教育 [#xf6545ae] 情報セキュリティ委員会は、新入社員、中間採用者に対して... *** (社内異動者への教育) [#n571885e] 省略。 *** 契約社員および協力会社への教育 [#t240bd49] 省略。 ** 訓練の実施 [#c4d652ba] 情報セキュリティ委員会は、情報セキュリティに責任をもつ... *** 訓練内容 [#db640122] ・リスク分析 ・情報セキュリティ対策についての導入、管理、運用、利用等 ・情報セキュリティ問題の検出、検知、報告、復旧等 ** 教育、訓練資料 [#te96124b] 教育、訓練資料は、適切な教育、訓練を行うため、環境の変... ・一般説明会教育資料 ・再教育資料 ・新入社員教育資料 ・中間採用者教育資料 ・情報セキュリティ対策訓練資料 ・情報セキュリティ問題訓練資料 ** 教育実施記録 [#f9958d5b] 情報セキュリティ委員会は、教育、訓練の実施状況に関して... ・教育の実施日、時間 ・教育実施者(部署) ・教育の受講者 ・教育の内容 *** 教育運用実施報告、確認 [#te5efe91] 情報セキュリティ委員会は、情報セキュリティの教育、訓練... ** 懲戒手続 [#q3830b98] 本規程は、当社の情報セキュリティ違反に対する罰則の適用... 情報セキュリティ方針および規程類が適用されるすべての人... *** 罰則案件の届出 [#c624ee95] 各従業員は罰則に相当すると思われる情報セキュリティ違反... なければなりません。 *** 情報セキュリティ委員会での審議及び決定 [#vc0fe94f] 情報セキュリティ委員会は届出が行われた罰則案件について... + 違反の内容及び重大さ並びにその業務上の影響 + 最初の違反か又は繰り返し起こされたものか + 違反者は、適切に教育、訓練されていたか + 関連する法令、規則又は取引契約内容についての確認 + その他、必要と判断される内容 *** 人事部門での罰則手続き [#m4c592a2] 人事部門の担当者は情報セキュリティ委員会での決定に基づ... *** 再教育 [#x3f9fc2b] 情報セキュリティ委員会は罰則案件の審議結果で再教育が必... ** 運用確認事項 [#i84bc25e] 人的管理において、以下が行われていることを確認しなけれ... + 顧客情報の収集、保管、廃棄、クレーム等に関し、定期的に... + 教育実施後理解度を測り、理解度の低い者に対し、十分な理... + 関連法令、社内規程及び契約上の義務違反等を明確にし、そ... わなければなりません。実施が困難な場合は、残存リスクとし... + また、これらの事項については、必ず記録を残さなければな... + 関連法規等ついては、定期的に見直し、最新の状態にし、従... ** 除外事項 [#x3da8e40] 業務都合等により本規程の遵守事項を守れない状況が発生し... ** 罰則事項 [#z5f393a5] 本規程の遵守事項に違反した者は、その違反内容によっては... * (外部委託先管理規程) [#b935de1c] 省略。 * 文書管理規程 [#e6176666] ** 趣旨 [#ce091cc1] 本規程は、情報セキュリティ文書である「情報セキュリティ... キュリティ文書の適切な管理と運用を図ることを目的とします。 ** 対象者 [#q2eb9f06] 情報セキュリティ委員会(以下、「委員会」とする)の構成... ** 対象システム [#s41987d1] 本規程は情報セキュリティ文書に関するものであり、情報シ... ** 文書の構成 [#z11a4c2d] 情報セキュリティ文書は、以下のように構成されます。 - 情報セキュリティポリシー -- 基本方針(公開情報) -- 情報資産管理規程(機密情報) -- 情報セキュリティ対策規定(機密情報) - 情報セキュリティ対策手順書(機密情報) - 記録(機密情報) *** 情報セキュリティ方針 [#x3260974] 情報セキュリティ方針(以下、「方針」とする)は、当社の... *** 情報セキュリティ対策規程 [#d7abb86f] 情報セキュリティ対策規程(以下、「対策規程」とする)は... *** 情報セキュリティ対策手順書 [#p4f576b8] 情報セキュリティ対策手順書(以下、「対策手順書」とする... *** 記録 [#xeaaed15] 記録は、情報セキュリティ対策の運用時の証拠を提供するた... ** (4.2 文書の策定・改訂、評価、承認、保管・管理) [#... 省略。 ** 文書の策定・改訂の方針 [#wd66063b] 委員会のメンバーは「文書」の策定・改訂の必要性を認識し... 委員会は提案された策定・改訂案件について審議を行い、策... 事務局及び情報システム担当者は実施することが決定した策... ** 文書の配布 [#hf3458bf] *** 対象者への周知と手段 [#n3776038] 委員会は、「文書」の策定・改訂を実施した場合、迅速に開... 文書の配布については、以下を遵守しなければなりません。 + 委員会は、「文書」を社内イントラネット上の共有フォルダ... + 委員会は、公開された文書へのアクセスが、開示を許可され... + 委員会は、ネットワーク上の問題等によって「文書」の閲覧... *** 理解度の確認 [#n855ae1f] 配布文書を対象者が理解しているか確認するため、以下を遵... + 委員会は、メールやタスク管理システム等の手段により、対... + 対象者は、委員会からの周知を受けてから、速やかに「文書... + 対象者は、委員会が用意した理解度確認用の手段を、周知後... *** 理解度実施の確認 [#qd79a474] 配布文書を対象者が理解したか、以下により確認しなければ... + 委員会は、対象者が理解度確認の手段をすべて実施し、必要... + セキュリティ責任担当者は、メールやタスク管理システム等... + セキュリティ責任担当者は、やむを得ない理由で対象者の実... ** 文書の廃棄 [#h059f72d] 文書の廃棄にあたっては、以下を遵守しなければなりません。 + 「方針」の廃棄は、社長の承認を必要とします。「対策規程... + 事務局及び情報システム担当者は、「文書」の廃棄の記録を... * (監査規程) [#r2751f7c] 省略。 * 物理的管理規程 [#n1778b14] ** 趣旨 [#c5afe9ee] 本規程は、敷地・建物・室・機器・設備等を保護し、それら... ** 対象者 [#uc2a5127] 敷地・建物・室の設置と利用、機器・設備等の利用に関わる... ** 対象システム [#e840121f] 敷地内のすべての情報システム及びすべての機器。 ** 物理的セキュリティ [#v26924bd] *** (4.1.1 セキュリティ区画の設定) [#y835ebad] *** (4.1.2 セキュリティ区画の運用) [#z5aa2928] (現状ではセキュリティ区画を設置しないため省略。 *** 機器・設備の保護 [#c990ba62] 機器、設備を保護するため、以下を遵守しなければならない。 + 機器・設備の設置位置については、不正な操作が実施しにく... + 重要度の高い機器・設備は他のものと分離して設置しなけれ... + 機器を設置する場合、落下や損傷の防止措置をとらなければ... + 機器の周辺では飲食・喫煙等を行ってはならない。 *** 電源・空調の保護 [#n55db24b] 電源、空調を保護するため、以下を遵守しなければならない。 + 電源・空調室およびその設備には耐震、耐火、耐水などの防... + 電源は、必要に応じて安定化装置の導入、負荷変動機器との... + 電源は過電流・漏電等による機器への障害に対する保護措置... + 電源には避雷設備を設置しなければならない。 + 重要度の高い機器・設備に対する電源には、無停電装置、バ... + 空調設備は機器・設備を適切に運転するために十分な温度・... + 重要度の高い機器・設備に対する空調設備については予備装... 終了行: * 情報セキュリティポリシー 草案 [#e86fccb5] ** 違反時における罰則 [#z7a9cd31] 当社は、『情報セキュリティポリシー』の違反者に対し、厳... 情報セキュリティ委員会は、『情報セキュリティポリシー』... 当社の情報セキュリティが侵害されたと思われる事象が判明... ** プライバシー及び個人を特定できる情報の保護 [#i3ce3d78] 顧客の個人情報(以下「顧客情報」とする)を適切に収集・... 顧客情報を取り扱うすべてのコンピュータ及び媒体を対象と... ** (4.2.1 顧客情報を取り扱う部門の特定) [#e90ddea4] 現在は部門の特定を必要としないため省略。 ** (4.2.2 顧客情報管理責任者の設置) [#ead5b828] 現在は部門ごとの責任者を設置しないため省略。 ** 顧客情報保護方針の公開 [#n0589145] 顧客情報管理責任者は、顧客情報を広く一般から収集する場... 顧客情報保護方針には、下記に記載される遵守事項の内容お... ** 顧客情報の収集と保管、破棄 [#icb933af] 顧客情報の収集時には、顧客に対して利用目的を明示し、顧... 客から同意を得なければなりません。 収集した情報を顧客に明示した利用目的以外の利用をしては... 顧客情報に対する登録・参照・変更・削除の実施可能な者を... 顧客情報を利用する場合、正確な情報を利用しなければなら... 顧客情報のバックアップを実施しなければなりません。バッ... 顧客から当該顧客の顧客情報に関する開示・訂正・削除の要... 顧客情報を廃棄する場合、第三者の目にさらされないように... ** 顧客からのクレーム処理 [#b79379d5] 当社の業務において顧客からクレームを受けた場合には、い... 顧客情報が漏えいしてしまったなど、必要がある場合、情報... ** 情報セキュリティ教育 [#nfdb9a66] 情報セキュリティ意識の向上のため、情報資産に携わってい... ** 教育の計画立案 [#v42ffaf1] 情報セキュリティ委員会は、対象者およびタイミング、もし... *** 一般説明会 [#ie96770a] 情報セキュリティ委員会は、年に1回、情報資産に携わるす... *** 再教育 [#r1f9cf5b] 情報セキュリティ委員会は、情報セキュリティ違反者に対し... *** 新入社員、中間採用者への教育 [#t3f5038f] 情報セキュリティ委員会は、新入社員、中間採用者に対して... *** (社内異動者への教育) [#tbb9f165] 省略。 *** (契約社員および協力会社への教育) [#p0d27259] 省略。 ** 教育の実施 [#afddd922] 情報セキュリティ委員会は、情報資産に携わるすべての人に... *** 教育内容 [#acbb88f0] ・当社の情報セキュリティ方針 ・情報セキュリティの問題のもつ意味を理解 ・組織や個人の情報セキュリティの重要性 ・情報セキュリティ対策 ・情報セキュリティ計画 ・データ所有者の責任 ・モラル教育 ・法令、規則等の違反、罰則に関する事項 ・禁止行為に関しての教育他 ・最新の情報 *** 再教育 [#cf686b25] 情報セキュリティ委員会は、情報セキュリティ違反者に対し... *** 新入社員、中間採用者への教育 [#xf6545ae] 情報セキュリティ委員会は、新入社員、中間採用者に対して... *** (社内異動者への教育) [#n571885e] 省略。 *** 契約社員および協力会社への教育 [#t240bd49] 省略。 ** 訓練の実施 [#c4d652ba] 情報セキュリティ委員会は、情報セキュリティに責任をもつ... *** 訓練内容 [#db640122] ・リスク分析 ・情報セキュリティ対策についての導入、管理、運用、利用等 ・情報セキュリティ問題の検出、検知、報告、復旧等 ** 教育、訓練資料 [#te96124b] 教育、訓練資料は、適切な教育、訓練を行うため、環境の変... ・一般説明会教育資料 ・再教育資料 ・新入社員教育資料 ・中間採用者教育資料 ・情報セキュリティ対策訓練資料 ・情報セキュリティ問題訓練資料 ** 教育実施記録 [#f9958d5b] 情報セキュリティ委員会は、教育、訓練の実施状況に関して... ・教育の実施日、時間 ・教育実施者(部署) ・教育の受講者 ・教育の内容 *** 教育運用実施報告、確認 [#te5efe91] 情報セキュリティ委員会は、情報セキュリティの教育、訓練... ** 懲戒手続 [#q3830b98] 本規程は、当社の情報セキュリティ違反に対する罰則の適用... 情報セキュリティ方針および規程類が適用されるすべての人... *** 罰則案件の届出 [#c624ee95] 各従業員は罰則に相当すると思われる情報セキュリティ違反... なければなりません。 *** 情報セキュリティ委員会での審議及び決定 [#vc0fe94f] 情報セキュリティ委員会は届出が行われた罰則案件について... + 違反の内容及び重大さ並びにその業務上の影響 + 最初の違反か又は繰り返し起こされたものか + 違反者は、適切に教育、訓練されていたか + 関連する法令、規則又は取引契約内容についての確認 + その他、必要と判断される内容 *** 人事部門での罰則手続き [#m4c592a2] 人事部門の担当者は情報セキュリティ委員会での決定に基づ... *** 再教育 [#x3f9fc2b] 情報セキュリティ委員会は罰則案件の審議結果で再教育が必... ** 運用確認事項 [#i84bc25e] 人的管理において、以下が行われていることを確認しなけれ... + 顧客情報の収集、保管、廃棄、クレーム等に関し、定期的に... + 教育実施後理解度を測り、理解度の低い者に対し、十分な理... + 関連法令、社内規程及び契約上の義務違反等を明確にし、そ... わなければなりません。実施が困難な場合は、残存リスクとし... + また、これらの事項については、必ず記録を残さなければな... + 関連法規等ついては、定期的に見直し、最新の状態にし、従... ** 除外事項 [#x3da8e40] 業務都合等により本規程の遵守事項を守れない状況が発生し... ** 罰則事項 [#z5f393a5] 本規程の遵守事項に違反した者は、その違反内容によっては... * (外部委託先管理規程) [#b935de1c] 省略。 * 文書管理規程 [#e6176666] ** 趣旨 [#ce091cc1] 本規程は、情報セキュリティ文書である「情報セキュリティ... キュリティ文書の適切な管理と運用を図ることを目的とします。 ** 対象者 [#q2eb9f06] 情報セキュリティ委員会(以下、「委員会」とする)の構成... ** 対象システム [#s41987d1] 本規程は情報セキュリティ文書に関するものであり、情報シ... ** 文書の構成 [#z11a4c2d] 情報セキュリティ文書は、以下のように構成されます。 - 情報セキュリティポリシー -- 基本方針(公開情報) -- 情報資産管理規程(機密情報) -- 情報セキュリティ対策規定(機密情報) - 情報セキュリティ対策手順書(機密情報) - 記録(機密情報) *** 情報セキュリティ方針 [#x3260974] 情報セキュリティ方針(以下、「方針」とする)は、当社の... *** 情報セキュリティ対策規程 [#d7abb86f] 情報セキュリティ対策規程(以下、「対策規程」とする)は... *** 情報セキュリティ対策手順書 [#p4f576b8] 情報セキュリティ対策手順書(以下、「対策手順書」とする... *** 記録 [#xeaaed15] 記録は、情報セキュリティ対策の運用時の証拠を提供するた... ** (4.2 文書の策定・改訂、評価、承認、保管・管理) [#... 省略。 ** 文書の策定・改訂の方針 [#wd66063b] 委員会のメンバーは「文書」の策定・改訂の必要性を認識し... 委員会は提案された策定・改訂案件について審議を行い、策... 事務局及び情報システム担当者は実施することが決定した策... ** 文書の配布 [#hf3458bf] *** 対象者への周知と手段 [#n3776038] 委員会は、「文書」の策定・改訂を実施した場合、迅速に開... 文書の配布については、以下を遵守しなければなりません。 + 委員会は、「文書」を社内イントラネット上の共有フォルダ... + 委員会は、公開された文書へのアクセスが、開示を許可され... + 委員会は、ネットワーク上の問題等によって「文書」の閲覧... *** 理解度の確認 [#n855ae1f] 配布文書を対象者が理解しているか確認するため、以下を遵... + 委員会は、メールやタスク管理システム等の手段により、対... + 対象者は、委員会からの周知を受けてから、速やかに「文書... + 対象者は、委員会が用意した理解度確認用の手段を、周知後... *** 理解度実施の確認 [#qd79a474] 配布文書を対象者が理解したか、以下により確認しなければ... + 委員会は、対象者が理解度確認の手段をすべて実施し、必要... + セキュリティ責任担当者は、メールやタスク管理システム等... + セキュリティ責任担当者は、やむを得ない理由で対象者の実... ** 文書の廃棄 [#h059f72d] 文書の廃棄にあたっては、以下を遵守しなければなりません。 + 「方針」の廃棄は、社長の承認を必要とします。「対策規程... + 事務局及び情報システム担当者は、「文書」の廃棄の記録を... * (監査規程) [#r2751f7c] 省略。 * 物理的管理規程 [#n1778b14] ** 趣旨 [#c5afe9ee] 本規程は、敷地・建物・室・機器・設備等を保護し、それら... ** 対象者 [#uc2a5127] 敷地・建物・室の設置と利用、機器・設備等の利用に関わる... ** 対象システム [#e840121f] 敷地内のすべての情報システム及びすべての機器。 ** 物理的セキュリティ [#v26924bd] *** (4.1.1 セキュリティ区画の設定) [#y835ebad] *** (4.1.2 セキュリティ区画の運用) [#z5aa2928] (現状ではセキュリティ区画を設置しないため省略。 *** 機器・設備の保護 [#c990ba62] 機器、設備を保護するため、以下を遵守しなければならない。 + 機器・設備の設置位置については、不正な操作が実施しにく... + 重要度の高い機器・設備は他のものと分離して設置しなけれ... + 機器を設置する場合、落下や損傷の防止措置をとらなければ... + 機器の周辺では飲食・喫煙等を行ってはならない。 *** 電源・空調の保護 [#n55db24b] 電源、空調を保護するため、以下を遵守しなければならない。 + 電源・空調室およびその設備には耐震、耐火、耐水などの防... + 電源は、必要に応じて安定化装置の導入、負荷変動機器との... + 電源は過電流・漏電等による機器への障害に対する保護措置... + 電源には避雷設備を設置しなければならない。 + 重要度の高い機器・設備に対する電源には、無停電装置、バ... + 空調設備は機器・設備を適切に運転するために十分な温度・... + 重要度の高い機器・設備に対する空調設備については予備装... ページ名: