|
CQ出版株式会社 情報セキュリティ基本方針 Ver1.4 1.目的CQ出版株式会社 情報セキュリティ基本方針はCQ出版株式会社が保有あるいは管理する情報資産の機密保持および正確性,完全性の維持を確保するため,情報資産の取り扱いと情報セキュリティ対策の基本的な考え方および方策を定め,CQ出版株式会社における情報資産の管理を徹底することを目的とする. 2.適用範囲 本情報セキュリティ基本方針の適用範囲は,CQ出版株式会社および業務の一部を委託する関連・協力会社とする.ただし,関連・協力会社については本情報セキュリティ基本方針に準じた情報セキュリティ保持契約を締結することをもってこれに代えることがある. 3.用語の定義 (1)情報セキュリティ 情報資産の機密保持および正確性,完全性の維持ならびに,定められた範囲での利用可能な状態を維持すること. (2)情報資産 情報システムおよび情報システムの開発と運用に係る,すべてのデータならびに情報システムで取り扱うすべてのデータ. (3)情報システム コンピュータあるいは情報システムを用いて業務・事務処理を行うための情報処理の体系. (4)ネットワーク コンピュータ,関連機器などの多目的利用および各種オンライン・システムのデータ伝送を目的(インターネットを含む)として構築された情報通信インフラ. (5)従業員等 CQ出版株式会社のすべての役員および従業員,契約社員(アルバイト,パートタイマーを含む) ,および情報システムに係る業務を委託する個人ないしは法人. 4.従業員等および外部利用者の義務 従業員等は,本情報セキュリティ基本方針の主旨を理解・認識し,関連諸法律を遵守する. また,CQ出版株式会社は本情報セキュリティ基本方針を従業員等が理解・認識し,遵守するための必要な措置を講じる. さらに,CQ出版株式会社が提供する情報を,ネットワークを通じて外部から利用する個人並びに法人についても,本情報セキュリティ基本方針を理解・認識し,遵守していただくための必要な措置を講じる. 5.情報セキュリティ管理体制 CQ出版株式会社が保有する情報資産の管理に関しては,管理本部長の責任のもとに,情報セキュリティ対策を推進・管理するための体制を確立するものとする. 6.情報資産の分類 CQ出版株式会社が保有する情報資産はその重要度に応じて分類を行い,分類ごとに必要な管理・保持体制を確立するものとする. 7.情報資産への脅威 CQ出版株式会社においてとくに認識すべき情報資産への脅威は以下のとおりであり,これらの脅威を十分認識した上で,情報資産の分類の後,各々の情報資産に対する脅威の洗い出しを行うものとする. (1)部外者による故意の不正アクセス.または不正操作によるデータやプログラムの持ち出し,盗聴,改ざん,消去,機器および媒体の盗難,故意の障害発生行為によるサービスの停止など. (2)従業員等による意図しない操作,故意の不正アクセスまたは不正操作によるデータやプログラムの持ち出し,盗聴,改ざん,消去,機器および媒体の盗難および規定外の端末接続によるデータ漏洩など. (3)地震,雷,火災などの災害ならびに事故,故障などによるサービス停止. 8.情報セキュリティ対策 前項の洗い出しにより明確になった脅威から情報資産を保護するために,以下のセキュリティ対策を講ずるものとする. (1)物理的セキュリティ対策 情報システムを設置する施設への不正な立ち入り,情報資産への損傷・妨害などから保護するために物理的な対策を講じる. (2)人的セキュリティ対策 管理本部長のもと,情報セキュリティに関する権限や責任を定め,従業員等に本情報セキュリティ基本方針および情報セキュリティに関する法令等の内容を周知徹底するなど,十分な教育および啓発が行われるよう必要な対策を講じる. (3)技術的セキュリティ対策 情報資産を外部からの不正アクセスなどから適切に保護するため,情報資産へのアクセス制御,ネットワーク管理などの技術面の対策を講じる. (4)運用におけるセキュリティ対策 情報セキュリティに関する法令および本情報セキュリティ基本方針の遵守状況の確認などの運用面の対策を講じる.また,緊急事態が発生した場合に迅速な対応を可能とするための危機管理対策を講じる. 9.情報セキュリティ対策基準の策定 前項の対策を講じるにあたり,遵守すべき行為および判断などの基準を統一的に定めるため,必要となる基本的な要件を明記した「情報セキュリティ対策基準」を策定するものとする. 10.情報セキュリティ実施手順の策定 本情報セキュリティ基本方針および情報セキュリティ対策基準を遵守して情報セキュリティ対策を実施するため,個々の情報システムについて,具体的な実施手順を明記した「情報セキュリティ実施手順」を策定するものとする. 11.従業員等の教育 本情報セキュリティ基本方針および情報セキュリティ対策基準ならびに情報セキュリティ実施手順などの従業員等への浸透と情報セキュリティ意識向上のため,情報セキュリティに関する教育プログラムを策定し,それを実施する. 12.情報セキュリティ侵害時の対応 情報セキュリティの侵害が発生したときは,管理本部長を責任者とするセキュリティ侵害特別対策本部を設置し,迅速にその対応および処理にあたるものとする. なお,情報セキュリティに関する法令等および本情報セキュリティ基本方針ならびに情報セキュリティ対策基準,情報セキュリティ実施手順などの関係規定に違反した従業員等については,従業員就業規則などに基づき処分する. 13.情報セキュリティ実施状況の検証 本情報セキュリティ基本方針および情報セキュリティ対策基準が遵守されていることを確認するため,定期的に情報セキュリティ実施状況の検証ならびに監査を行う. 14.評価および見直しの実施 情報セキュリティ実施状況の検証ならびに監査結果などを踏まえるとともに,情報セキュリティをとりまく状況の変化に対応するため,本基本方針,対策基準および実施手順の見直しを適宜行うものとする. 15.附則 本情報セキュリティ基本方針は,2002年9月5日から施行する. | ||||||||
| ||||||||
|
履歴 | ||||||||