情報セキュリティポリシー

情報セキュリティポリシー

(公財)埼玉県産業振興公社 情報セキュリティ対策基本方針

情報セキュリティポリシーとは
この情報セキュリティポリシーは、公益財団法人埼玉県産業振興公社(以下、「公社」という。)が保有する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものの総称です。
情報システムの技術的安全の確保及び役職員等の意識啓発を図り、もって公社に対する信頼性を確保することを目的とします。

構成
この情報セキュリティポリシーは、公社の業務に携わる役職員等に浸透、普及、定着させるものであり、安定的な規範であることが要請されます。
このため、この情報セキュリティポリシーを、一定の普遍性を備えた情報セキュリティ基本方針と、これを実行に移すための情報システムの運用管理に関する規程の2階層の構成とします。

文書名 内 容
情報セキュリティポリシー 情報セキュリティ基本方針 情報セキュリティ対策に関する統一的かつ
基本的な方針
情報システムの運用管理に
関する規程
情報セキュリティ基本方針を実行に移すた
めの、全ての情報システムに共通な情報セ
キュリティ対策に関する基準
情報セキュリティ対策に関する基準に基づ
き、情報システムごとに定める具体的な実
施手順

第1.目的

 この基本方針は、公社が保有する情報資産を様々な脅威から保護するために必要な対策について、組織的かつ継続的に取り組むための基本的な考え方を定めるものであり、公社における情報セキュリティ水準を維持し、及び向上させることを目的とする。

第2.用語の定義

 この情報セキュリティポリシーにおいて、次の各号に掲げる用語の定義は、当該各号に定めるところによる。

  1. 情報:電磁的に記録されている全ての文字、図表などの総称をいう。
  2. 情報資産:情報、情報を管理するための仕組み及びそれを記載している資料等の総称をいう。
  3. 機密性:情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。
  4. 完全性:情報が破壊、改ざん又は消去されていない状態を確保することをいう。
  5. 可用性:情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。
  6. 情報セキュリティ:情報資産の機密性、完全性及び可用性を維持することをいう。
  7. 情報セキュリティインシデント:情報セキュリティに関する障害・事故及びシステム上の欠陥をいう。
  8. 情報セキュリティポリシー:本基本方針及び情報セキュリティ対策基準をいう。
  9. 電磁的記録媒体:USBメモリ、外付けハードディスクドライブ、DVD-R、磁気テープ等の情報を電磁的に記録しておくメディアをいう。
  10. 機器:ハードウェア及びソフトウェアから構成され、情報を作成、処理、保存する装置をいう。
  11. ネットワーク:機器等を相互に接続するための通信網、その構成機器をいう。

第3.対象とする脅威

情報資産に対する脅威として、次に掲げる脅威を想定し、情報セキュリティ対策を実施する。

  1. 部外者の侵入、不正アクセス、コンピューターウイルス、サービス不能攻撃等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取等
  2. 情報資産の無断持ち出し、内部不正、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、及びプログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、故障等の非意図的な要因による情報資産の漏えい・破壊・消去等
  3. 地震、落雷、火災等の災害によるサービス及び業務の停止等
  4. 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
  5. 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等

第4.適用範囲

(1)この情報セキュリティポリシーの対象となる役職員等(公社の役職員及び委嘱等により公社の業務に従事する者をいう。)は、(2)に掲げる情報資産に接する、若しくは接することのできる役職員等とする。なお、外部委託業者にも、その委託内容に応じて、公社が行う情報セキュリティ対策の水準と同等以上の情報セキュリティ対策をとらせるものとする。
(2)この情報セキュリティポリシーの対象となる情報資産は、公社が保有する情報資産のうち、次に掲げるものとする。

  1. 情報システム、ネットワーク及びネットワーク図、マニュアル等のシステム関連資料等(以下、「資料等」という。)
  2. 情報
  3. 機器
  4. 電磁的記録媒体
  5. 環境設備(電源設備、空調設備等をいう。)

第5.役職員等の責務

 役職員等は、情報資産を安全に管理することの重要性について、共通の認識を持つとともに、職務の遂行に当たって、情報セキュリティポリシー及び情報システムの運用管理に関する規程(以下、「情報セキュリティポリシー等」という。)を遵守し、関係する法令等に従う。

第6.情報セキュリティ対策

 第3の「対象とする脅威」から情報資産を保護するために、以下の情報セキュリティ対策を講じる。

  1. 組織体制
    情報セキュリティ対策を組織的に推進するため、 管理体制及び運営体制を整備する。
  2. 情報資産の分類と管理
    情報は、その重要度に応じて分類するとともに、情報資産については、情報の機密性、完全性及び可用性を踏まえ、的確に管理する。
  3. 物理的セキュリティ
    サーバー等、サーバー室等、通信回線等及び職員のパソコン等の管理について、物理的な対策を講じる。
  4. 人的セキュリティ
    情報セキュリティに関し、役職員等が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講じる。
  5. 技術的セキュリティ
    コンピューター等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。
  6. 運用
    情報システムの監視、情報セキュリティポリシー等の遵守状況の確認、外部委託を行う際のセキュリティ確保等、情報セキュリティポリシー等の運用面の対策を講じるものとする。また、情報資産に対するセキュリティに関する脅威が発生した場合等に迅速かつ適切に対応するため、トラブル発生時の対応等を策定する。

第7.情報セキュリティ監査及び自己点検の実施

 情報セキュリティポリシー等の有効性及び遵守状況について定期的に監査及び自己点検を実施する。

第8.情報セキュリティポリシー等の見直し

 情報セキュリティ監査及び自己点検の結果等を踏まえ、情報セキュリティポリシー等で定める事項及び情報セキュリティ対策の評価を実施するとともに、情報セキュリティを取り巻く状況の変化等を考慮し、情報セキュリティポリシー等の見直しを行う。

第9.役職員等に対する処分

 情報セキュリティに関する法令、契約条項、または情報セキュリティポリシー等に違反した役職員等については、その重大性又は発生した事案の状況等に応じて、就業規程他関係規程に基づき厳正な処分等を行う。

第10.情報セキュリティ対策基準の策定

 情報セキュリティ基本方針に基づき、具体的な遵守事項及び実施手順等を明記した情報システムの運用管理に関する規程を別に定める。なお、情報システムの運用管理に関する規程は、公にすることにより公社の運営に重大な支障を及ぼすおそれがあることから非公開とする。

 

公益財団法人埼玉県産業振興公社
理事長 神田文男
令和2年10月1日

お問い合わせ先

(公財)埼玉県産業振興公社 総務企画グループ

電話048-647-4101