【情報セキュリティリスク管理フレームワーク】
当社の情報セキュリティに関するポリシー、計画、対策および技術標準、ならびにセキュリティ技術の研究、
構築および評価に関する事項は、情報部が担当します。データおよび
情報システムのセキュリティ要件の検討、使用管理および保護に関する事項は、業務部門が担当します。情報セキュリティ
の使用管理事項の監査は、監査室が担当します。
使用部門は、情報資産の使用に関して、権限のある部門の要求に従い、正確な使用および操作の責任を負います。
毎月、情報部は主管会議で情報業務とその実施結果を報告します。
毎年、監査室は内部監査を実施し、欠陥が発見された場合、被監査部門に改善措置を要求し、改善結果を追跡します。
毎年、会計士は情報業務の監査を実施し、欠陥が発見された場合、改善措置を要求し、改善結果を追跡します。
【情報セキュリティポリシー】
(一)目的
会社全体の情報セキュリティ環境を維持し、各種情報資産のセキュリティ管理を強化し、便利で安全な電子作業環境を構築
することにより、データ、システム、設備および
ネットワークのセキュリティ、情報設備の適切な配置、ならびに情報セキュリティの実務作業の実現可能性および有効性を
確保します。
(二)範囲
当社の情報セキュリティ管理範囲には、当社の各種情報資産(ソフトウェアおよびハードウェア設備を含む)、
ならびに正社員、臨時社員、契約社員、外部ベンダーおよびその他
情報資産の使用を許可された担当者などの情報利用者が含まれます。
(三)定義と目標
各種情報資産の重要性および価値、ならびに人的ミス、意図的な行為または自然災害などのリスクにより、会社の情報資産
が不適切に利用されたり、データが漏洩したり
、悪意を持って改ざんされたり、破損したりするなど、当社の業務に影響を与え、損害を与える程度を総合的に考慮し、情
報資産の価値に見合った費用対効果の高い管理、運用および技術などのセキュリティ対策を講じます。
情報システムが内部および外部の担当者による不適切な使用または意図的な破壊を受けたり、情報セキュリティインシデン
トが発生した場合に、会社が迅速に対応し、情報セキュリティインシデントによってもたらされる可能性のある
経済的損害および業務中断を軽減します。
【情報セキュリティ具体的な管理計画】
(一)ホストシステムセキュリティ:
1.ホストオペレーティングプラットフォームおよびデータベースのセキュリティを確保し、オペレーション手順を
標準化するため、ホストの状態を定期的に検査するか、外部委託による定期メンテナンスを実施し、重要なホストにはバ
ックアップまたはバックアップメカニズムが必要です。
2.コンピュータで不明なプログラムが起動して実行されていないか常に確認し、信頼できない不要なサービス
(.zip、.exe、.scr、.vbsなど)を開かないでください。トロイの木馬の埋め込みを防ぎます。
3.システムセキュリティパッチ、ウイルス対策ソフトウェアおよびウイルス定義ファイルを定期的に確認して更新し、常
に最新の状態に保ちます。システムの自動更新プログラムを自分で閉じないでください。システムの正常な
動作を維持するためです。
4.個人のコンピュータを使用しない場合は、パスワード保護、ロックまたはログアウトなどのセキュリティ対策を講じる
必要があります。
5.P2P(ピアツーピア)接続、トンネル関連ツール、または会社のネットワーク、設備に損害を与えたり、ネットワーク
の輻輳や帯域幅の占有を引き起こす可能性のあるソフトウェアやサーバー構築ソフトウェア(FTP)を個人
的な目的で使用することは禁止されています。
(二)ネットワークセキュリティとコンピュータウイルスの防止:
1.ネットワークサービスと使用のセキュリティを確保するため、新入社員に教育訓練を実施し、関連するネットワークセ
キュリティに関する啓発活動を随時行います。
2.すべてのコンピュータに会社が購入した正規版のウイルス対策ソフトウェアをインストールし、コンピュータの保護と
定期的な検出を行い、コンピュータウイルスなどの悪意のあるソフトウェアの侵入を防ぎます。
(三)日常業務のセキュリティ管理:
1.データバックアップ:
(1)事故や記憶媒体の故障に備えて、重要なデータを定期的にバックアップします。
(2)バックアップデータは、主作業エリアに保存するだけでなく、主要な作業場所で事故が発生した場合に備えて、オフ
サイトのバックアップメカニズムも存在する必要があります。
(3)バックアップデータの可用性を確保するため、バックアップデータを定期的にテストします。
2.パスワード設定原則:
(1)
(2)設定原則パスワードの推奨される長さは8文字以上で、英数字などを含める必要があります。
3.環境安全管理:
(1)関連施設の安全を確保するため、部門が指定した担当者以外の者は、許可なく機械室に立ち入ったり、関連する情報
機器を使用したりすることはできません。
(四)ネットワークセキュリティの計画と管理:
1.ネットワークセキュリティ計画:
(1)ネットワークを介したデータ伝送のセキュリティを確保し、ネットワークオペレーションを保護し、不正なシステム
アクセスを防ぐために、コンピュータネットワークシステムのセキュリティ管理メカニズムを確立する必要がありま
す。
(2)組織および地域を跨ぐコンピュータネットワークシステムについては、ネットワークセキュリティ管理を特に強化す
る必要があります。
2.ファイアウォールセキュリティ管理:
(1)外部ネットワークとの接続インターフェースにはファイアウォールを設置し、データ伝送とリソースアクセスを
制御する必要があります。
(2)ファイアウォールはネットワーク管理者が管理し、リモートログインは禁止して、ログイン時のデータ
盗難を防ぐ必要があります。
3.サーバー情報セキュリティ管理:
(1)外部ネットワークと内部ネットワーク間のデータ伝送とリソースアクセスを制御するためにファイアウォールを設定
し、使用しないポートを閉じて、ウイルス感染やハッカー攻撃を防ぎます。
(2)外部接続オペレーション用に公開されているサーバーホストは、外部が情報システムまたはデータベースに直接アク
セスしてデータを取得することを避ける必要があります。
(3)サーバーホスト管理のセキュリティは、必要な使用状況に応じて、暗号化されたチャネル(VPN)などのさまざまな
セキュリティ制御技術を採用する必要があります。
(4)各部門が開発したシステムおよびWebサイト(外部委託開発を含む)は、完了後、脆弱性スキャンを実行し、リスク
のある脆弱性を修正してからオンラインにする必要があります。運用中のWebサイトについても、定期的に
必要なシステムおよびWebサイトの脆弱性スキャンを実行してください。
(5)重要なシステム設定ファイル、Webページデータ、サーバーファイル、データベース、機密性の高いファイルデータ
は、バックアップのサイクルを定め、そのサイクルに従ってシステムのスケジュールまたは手動による
バックアップを実行する必要があります。
(五)担当者の使用に関するセキュリティ教育と訓練:
(1)新入社員に対して情報セキュリティ教育訓練を実施し、情報セキュリティの重要性および起こりうるさまざまなセキ
ュリティリスクを理解させ、会社の関連する情報セキュリティ規定を遵守させます。
(2)年に2回以上(合計3時間以上)、従業員に対して定期的に情報セキュリティに関する啓発活動を行い、情報セキュリ
ティに対する認識の重要性を高め、起こりうるさまざまな情報セキュリティインシデントを防止します。
【情報セキュリティ管理に投入するリソース】
情報セキュリティは会社の運営における重要な課題であり、情報セキュリティ管理事項と投入するリソース計画は以下のと
おりです。
(一)専任の人員:会社の情報セキュリティ計画、技術導入および関連する監査事項を担当する10名の専任の企業組織「情報セ
キュリティチーム」を設置し、情報セキュリティを維持し、継続的に強化します。
(二)認証:ISO27001情報セキュリティ認証を取得しており、関連する情報セキュリティ監査で重大な欠陥はありません。
(三)顧客満足度:重大な情報セキュリティインシデントはなく、顧客データの損失に関する苦情もありません。
(四)教育訓練:すべての新入社員は入社前に情報セキュリティ教育訓練コースを修了しています。全従業員が2回のオンライ
ン情報セキュリティ教育訓練および評価を修了しています。年間で合計4回のソーシャルエンジニアリングフィッシングメー
(五)情報セキュリティに関するお知らせ:5件以上の情報セキュリティに関するお知らせを作成し、情報セキュリティ保護に
関する重要な規定と注意事項を伝達しました。
(六)サプライチェーン:すべての新規請負業者は、翔名公司の情報セキュリティ規定に関する教育訓練を修了しています。