組織のセキュリティ

経営陣・管理責任者の下部に部署代表からなるフォーラムを結成し、全体的な資産の見直し、変化する脅威への監視、事件・事故の原因究明と再発防止を図り、セキュリティ強化のための発議承認等を行います。これら全ての活動責任は管理責任者の役割責任とし、委託先に対しても同様とします。

資産の分類および管理

全ての情報資産は、管理担当部署に分類され、保護の優先順位と程度を示し、且つ個別の資産ごとに適切な管理策を維持する責任者を割り当てます。なお、管理策の実施責任は委任できるが、資産に対する責任は指定管理者が負うこととします。

人的セキュリティ

• 従業員採用の段階で雇用契約の中に機密保持契約を織り込みセキュリティの責任に言及しておきます。派遣会社との契約も同様とします。
• 情報セキュリティの脅威や懸念に対する利用者の認識を確実にするため定期的に教育・訓練を実施します。
• 全従業員に緊急連絡網一覧を携帯させ、事件事故の発生を知った場合は手順に従い直ちに報告させます。

物理的および環境的セキュリティ

すべての情報処理設備は適切なセキュリティ境界によって保護された領域の中に設置します。

通信および運用管理

社内の通信網を一元管理し、情報資産の保護と情報処理設備の管理・運用及び手順を確立します。また、遠隔地にバックアップサーバーを設置し、障害や災害に備えます。

アクセス制御

アクセス制御はコンピュータ業務の基本的な機能であり、機密性や完全性が大きく要求されますので、アクセスの認可に個別方針を決め、権限領域を極力狭めた認可制限やID・パスワードを使用してアクセス管理にあたります。

システムの開発および保守

ソフトウェアの実装又は開発においては、事前にセキュリティにかかわる要求事項を明確にしてデータの入出力や処理の健全性、機密性、プログラムの安全管理等幅広い観点から必要な要件を文書化し処理します。

事業継続管理

災害やセキュリティ障害による事業活動の中断に対処するため、予防管理策を定め、更に緊急時の対応・避難計画・代替手段の手順・事業回復計画等を文書化し、実施します。

法令等との適合性

関係する法令等への適合性を確認するため、顧問弁護士への相談や定期的な見直しを行い、セキュリティポリシーや技術適合、また、システム監査等を通じてセキュリティシステムが健全に運用されているかを検証します。