logo-starbit

Information Security Policy
情報セキュリティポリシー

1. 当社は、重要システム及び基幹システムにおける機密性(Confidentiality)、完全性(Integrity)及び可用性(Availability)の確保を情報セキュリティの目標とし、各階層及び各部門が定義及び測定を行う情報セキュリティパフォーマンスの定量的指標に基づき、情報セキュリティマネジメントシステムの実施状況及び情報セキュリティ目標達成の成否を確認します。

2. 当社の使命及び目標並びに最高管理者層の情報セキュリティに対する期待及び要求を達成し、当社の情報資産の安全性を確保するため、情報セキュリティポリシーを次のとおり制定します。

2.1. 原則

2.1.1. 資産の安全性を確保することを目的に、関係法令及び経営上の要件を考慮して資産のリスク評価(Risk evaluation)を行い、その上で情報取扱業務におけるセキュリティ要求を確認して標準作業手順を策定し、適切な情報セキュリティ統制措置を講ずるものとします。

2.1.2. 情報セキュリティ関係業務を円滑に行うため、情報セキュリティを担う部署を設置し、その責任及び権限を定めるものとします。

2.1.3. 職務及び職能に基づく評価制度又は査定制度を構築するほか、実際の必要に応じて情報セキュリティに関する教育・研修及び啓発活動を行います。

2.1.4. 資産に対するアクセス権限は、業務上の必要性に基づき、また、最小特権、職務の分離及び監査を考慮して付与するものとします。

2.1.5. 情報セキュリティインシデント管理手順を策定し、インシデントに対する適切な対応、統制及び処理を確保します。

2.1.6. 事業継続計画を策定して定期的に訓練を実施し、情報サービスの継続的な運営を確保します。

2.1.7. 「サイバーセキュリティ管理法」、「個人情報保護法」及び知的財産等関係法令の規定に基づき、情報資産、個人情報及び知的財産権の慎重な取扱い及び保護を行います。

2.1.8. 定期的に情報セキュリティ監査を行い、情報セキュリティマネジメント制度の実施状況を点検します。

2.1.9. 当社従業員がこのポリシー及び情報セキュリティ関係規範に違反した場合は、賞罰規程又は関係法令に従って取り扱うものとします。その他の者が情報セキュリティに係る規定に違反した場合も、関係法律の規定に基づいて民事責任及び刑事責任を追及するものとします。

2.2. 目標

2.2.1. 情報サービスの維持・運営管理関係資産を共同で保護し、人為的な不当使用又は不法使用を防止し、ハッカー、ウイルス等による侵入及び破壊を抑止します。

2.2.2. 情報セキュリティマネジメントのプロセス及び関係標準作業手順を策定することにより、当社従業員の情報セキュリティ意識を高めてヒューマンエラー及びアクシデントの発生を防止し、機密性、完全性、可用性及び適法性を満たす情報サービスの継続的な運営を維持します。

2.2.3. 経営戦略が情報セキュリティの目標に基づいて策定されるよう、経営戦略に沿って情報セキュリティの目標を策定するものとします。

3. 情報セキュリティマネジメントシステムの有効性を確保するため、当社は、情報セキュリティを担う部署を設置し、一元的に情報セキュリティマネジメント制度の企画及び推進を行っています。

4. 人的なセキュリティ管理:人的要因による当社の情報セキュリティに対する影響を軽減するため、当社は、情報セキュリティに関する適切な教育、研修及び啓発を行い、関係者の情報セキュリティ意識を高めます。

5. 資産管理:当社の情報資産を保護するため、当社は、規範に基づいて情報資産台帳を作成し、情報資産の分類、格付け及び管理措置に係る業務に関する原則を制定します。

6. アクセス統制:

6.1. 情報処理装置へのアクセスを権限が付与された者に限定できるよう、使用者のパスワード、登録、変更、削除及び定期確認を行う仕組みを整備し、また、事務机及び電子計算機の表示装置の整頓措置を講じます。

6.2. ネットワークの安全性を維持するため、ネットワークサービスの仕組みを整備し、内部ネットワークと外部ネットワークを分離し、テレワーク及びモバイルデバイスの使用を管理します。

7. パスワード管理:適切で実効性のあるパスワードポリシーを制定し、情報の機密性、真正性及び完全性を保護します。

8. 物理的及び環境的セキュリティ管理:サーバールーム、オフィス及び関係設備のセキュリティを確保するため、当社は、サーバールーム入退室管理並びに設備の検査及び管理に関する原則及びオフィスにおける一般情報機器の使用、管理及び廃棄に関する原則を制定します。

9. 運用及び情報セキュリティ

9.1. 情報機器を正しく安全に使用するため、情報の適正な使用に関する規範を策定し、機密情報の漏えいを防止するほか、悪意のあるコード及びモバイルコードの実行を防止する仕組みを整備します。

9.2. 情報資産の完全性及び可用性を確保するため、情報処理装置のバックアップ作業及び外部の情報処理装置サービスの利用に関する管理原則を制定します。

9.3. ネットワークの安全性を維持するため、ネットワークセキュリティを統制する仕組みの整備及びシステム使用状況の監督、追跡及び保護に関する原則の制定を行います。

10. システムの取得、開発及び保守:アプリケーションシステムの開発管理、試験、検収、投入、保守及び外部委託管理業務の安全性を確保するため、当社は、標準管理手順を策定します。

11. サプライヤーとの関係:サプライヤーとの関係及びサプライヤーの管理方法を定義し、サプライヤーがアクセス、処理及び管理する当社の情報及び情報処理装置の安全性を確保します。

12. 情報セキュリティインシデントの管理:情報セキュリティインシデントによる損害を減少させるため、当社は、情報セキュリティに関し、通報及び処理の手順を策定して記録を行います。

13. 事業継続管理:当社が事業を継続的に運営できるよう、当社は、事業継続管理における情報セキュリティ統制原則を制定し、事業の継続的な運営管理のプロセス及び枠組みを構築し、事業継続運営計画を策定して実行します。

14. 適法性:情報セキュリティマネジメントシステムが関係法令、セキュリティポリシー及び最新の技術動向に即して実施されるよう、当社は、適法性確認の原則を制定します。

15. 従業員が情報セキュリティ関係規定に違反した場合において、その者が負うべき責任に関し、懲戒規程に従って処分を行います。

16. このポリシーは、少なくとも年に1回、当社の情報セキュリティ管理・審査担当者が関係する法令、技術及び業務の最新状況への適合性について再検討を行い、情報セキュリティに関する実務作業の実効性を確保します。

17. このポリシーに定めのない事項については、関係法令及び当社の関係規定に従って取り扱います。

18. このポリシーは、当社の情報セキュリティ管理・審査担当者の同意を得て効力を発揮し、改正を行う場合においても同様です。