1．

適用範囲
本方針が対象とする「情報資産」は、当社が保有する全情報及び業務上知り得たお客様の情報とし、本方針を遵守するのは当社の全社員（役員、契約社員・アルバイト含む）とします。

2．

管理体制
当社は本方針を運営する体制として「情報セキュリティ管理体制」を確立します。
情報システムの運用管理業務は、情報システム管理者の指揮の下、情報システム部門が主管となって執り行うものとします。

(情報システム管理組織)

3．

法令遵守
当社は情報資産の保護に関する法令や規範を遵守し、具体的に社内規程を定め、違反行為には厳しい姿勢で臨みます。

4．

教育・周知
当社は、全社員に対してセキュリティ教育を徹底し、かつ継続的に実施して意識レベルの向上を図ります。
情報システム管理者および情報システム部門員は、継続的に、システム管理手法や技術習得のための教育や、外部セミナーの受講を実施します。教育や、受講履歴をとりまとめ、最高情報責任者に報告します。

(全社員向けセキュリティ教育)
　・eラーニングによる「情報セキュリティ講座」を毎年、全社員で受講
　・情報セキュリティ及び個人情報保護に関する方針について、入社研修に周知
　・月例のチェックリスト提出による情報セキュリティの意識づけ
(管理部門向けセキュリティ教育)
　・サイバー攻撃の定期的な教育・訓練(標的型攻撃メール対応訓練など)

5．

監査と改善
当社は、従業員ごとに情報資産へのアクセス権を設定し、かつ、アクセスログやアラートにより監査を実施します。また、情報セキュリティ管理体制を定期的に監査し、適正な運用と改善を図り、有効性の維持に努めます。

6．

事故発生時の対応
当社は、情報セキュリティ事故の防止に努めます。万一、事故が発生した場合には影響範囲を最小限にとどめ、迅速な復旧にあたり、対策防止策を講じます。

7．

バックアップ体制
当社は、情報資産や情報システムの分散バックアップを実施し、情報セキュリティ事故時や災害時の早期復旧に努めます。

1．

モニタリング
情報システム管理者は、サーバやネットワーク等の情報システム構成機器の稼働状況、バックアップの取得状況等の監視を日々定刻に実施し、事故・障害の発生を検知します。
また、セキュリティインシデントの起点となるエンドポイントで挙動監視を行い、異常時にはネットワーク即自遮断などの応急措置することにより被害を最小に抑えます。

2．

インシデント発生時の対応
情報システム管理者は、情報セキュリティに関するインシデントが発生した場合には、ただちに最高情報責任者に報告するとともに、次の対応を行います。
(1)不正アクセス、ウィルス等がネットワーク経由で拡大し、情報資産に対する被害が拡大する恐れがある場合、その防護のためにただちにネットワークを切断する。
(2)災害などで情報資産や情報システムにアクセスできない場合、ただちに迂回経路や代替手段を構築し、稼働復旧に努める。
(3)情報資産の遺失が生じた場合はバックアップよりただちに復旧を試みる。
(4)インシデント発生後、発生したインシデントについて、状況・対応策・再発防止策をとりまとめ、取締役会で報告し、速やかに対策を講じる。

3．

利用機器の運用・管理
当社は情報セキュリティインシデント未然防止施策として次の対応を行います。
(1)ネットワーク分離・機器毎の通信制御
(2)コンピュータウイルス対策・挙動監視
(3)機器類のソフトウェアアップデート
(4)機器類の不許可ネットワーク接続禁止
(5)証明書によるリモートアクセス接続機器制限
(6)私物情報端末利用(BYOD)の禁止措置