本文へスキップします。

English

お問い合わせ

ENGLISH

サイト内検索 検索

当社は情報セキュリティ確保のため、以下の規則を定めます。

第1条(目的)

本規程は、「株式会社ブロードリーフ情報セキュリティ基本方針」(以下、「セキュリティ基本方針」という。)に則り、当社が保有する情報資産に対し、適切な保護対策を実施し、紛失、盗難、不正使用、情報の持ち出し等から保護し、情報資産の機密性、完全性、可用性を確保することを目的とする。

第2条(適用)

当社における情報セキュリティ管理は本規程による。なお、本規程の実施に際し、細目を必要とする事項については、別に「情報セキュリティ規程実施要領」(以下、「実施要領」という。)を設け、本規程の能率的な運用を図るものとする。また、本規程および実施要領に定めのない事項については、情報システム部長の指示に従う。

第3条(組織)

情報セキュリティの管理は、情報システム部が実施するものとし、情報システム部長はそれを統括する。

第4条(雇用におけるセキュリティ)

従業員が情報システムおよび情報資産を利用する際には、本規程および「社員就業規則」に従い、情報の取り扱いに留意しなければならない。
また、受入出向者や派遣社員等の「社員就業規則」が適用されない従業員を雇用する場合、本人または派遣元会社等との契約書内に秘密保持条項を定める。

第5条(情報セキュリティ教育)

情報セキュリティの脅威および懸念に対する利用者の認識を確実なものとし、セキュリティ基本方針を維持していく為に、情報システム部は、情報セキュリティに関する教育を計画し実施するものとする。
当社の情報資産を取り扱う従業員は、実施要領に定めた手続きに従い、情報セキュリティに関する教育を受講しなければならない。ただし、直接の雇用契約がない関係者の場合、利用する情報システムや取り扱う情報の重要度に応じて、情報セキュリティ教育の受講を免除または一部免除することができるものとするが、その場合、情報システム部長の承認を受けなければならない。

第6条(物理的セキュリティ境界)

情報資産を保護するために、施設には物理的セキュリティ境界(例えば、壁、カード制御による入口、有人の受付)を設定する。また、セキュリティを保つべき領域は許可されたものだけにアクセスを許可するようにしなければならない。

第7条(装置のセキュリティ)

実施要領で別途定義する装置は、資産の損失、損傷、劣化が発生しないように、設置、運用保守、撤去を行う。

第8条(悪意のあるソフトウェアからの保護)

情報資産を悪意のあるソフトウェアから保護するために、検出、予防および回復のための管理策を実施する。

第9条(バックアップ)

情報資産のバックアップは、定期的に取得し、検査する。

第10条(ネットワークのセキュリティ)

ネットワークを脅威から保護するために、また、ネットワークを用いた情報システムのセキュリティを維持するため、ネットワークを適切に管理し、制御する。
特に内部ネットワークと外部ネットワークとの境界点における整備は、強固なセキュリティ対策を行うものとし、情報システム部以外が所管部門の情報システムにおいても、情報システム部の指示に従い対策を行わなければならない。

第11条(媒体の取り扱い)

取り外し可能な媒体の管理および廃棄は、情報漏えいの脅威から保護するために、適切な手順を定め、実施する。

第12条(システム使用状況の監視)

システムの稼働状況、セキュリティ管理策の有効性の点検、およびアクセス制御方針に対する適合性の確認の為、情報セキュリティに関連した事象の記録を実施要領に定めた手順に則って監視し、保管する。

第13条(アクセス制御方針)

情報システムの利用者は、その職務権限に適した範囲で情報システムの機能および情報を利用することができる。情報システムのシステム運用管理者は、利用者一人一人が適切な範囲の機能および情報を利用できるように、アクセス制御を行わなければならない。

第14条(アカウント管理)

  1. 情報システムのアクセス制御に認証処理を用いる場合、原則として、ユーザー固有の識別子(アカウント)を発行し、利用者ごとに適切なアクセス権限を割り与える。
  2. アカウントおよび権限のメンテナンスは、それを必要とする事由が発生した際に速やかに実施する。
  3. 特権アカウントは管理者によって認められた者のみが利用できるように、制限し、管理する。

第15条(パスワードの管理)

パスワードは、他者により容易に推測可能なパスワードを設定したり、他者に漏洩したりしてはならない。

第16条(リモートアクセス)

社外の設備等から利用できる情報システムは、業務上、必要最小限の機能に限定する。特に許可されていないものによるアクセスやネットワークの途中経路における盗聴について、十分な対策を考慮しなければならない。

第17条(情報システムのセキュリティ)

情報システムのセキュリティを維持するため、機密性、完全性、可用性の観点から、企画・計画、開発・調達、導入、運用、変更・保守、管理、廃棄の各場面に応じた適切な管理策を実施する。

第18条(データのセキュリティ)

情報システムで取り扱われるデータは適切に保護する。入出力時の妥当性、暗号の使用、試験データの取り扱いについて、適切な管理策を実施する。

第19条(情報セキュリティのインシデント)

情報セキュリティに関するインシデント、脅威、脆弱性を発見した場合、速やかに情報システム部および所属長に連絡する。連絡を受けた情報システム部員は、情報システム部長に報告する。
報告を受けた情報システム部長は、被害を低減する対処を実施する。また、情報セキュリティのインシデントの記録は情報システム部で保管し、管理する。

第20条(緊急事態)

災害、情報漏洩、不正アクセス、システム停止等により、事業活動の中断が発生した場合、「危機管理規程」に定める対応に準ずるものとする。

第21条(法的要求事項への適合)

関連する法令(行政上の通達、指針を含む)への違反が無いように努めなければならない。

第22条(情報セキュリティ監査)

情報セキュリティ監査は、「内部監査規程」に規定されている業務監査の一環として、内部監査室長が主管となり行うものとする。

(2018年1月1日現在)