1.目的
この基準は、当社が健全なる情報化社会の実現を目指す情報処理サービス企業として、適切な情報セキュリティを推進し、お客様の情報、個人情報、(技術・品質・製品・サービス等の)情報資産を正しく取扱い、管理することを目的とする。
2.適用範囲
- この基準は、当社が指定した機密情報の取扱い、管理及び業務全般に適用する。
- 当社における機密情報の範囲は、以下とする。
- お客様から当社に開示・提供された「仕様書やデータ」等
- 当社が作成した「納品物や中間成果物」等
- お客様との「契約に付随する事項」等
- 機密情報の形態は、ドキュメント、電子化情報、ノウハウ、試作品、金型等機密方法が化体されたもの等の一切を含む。
3.情報セキュリティ要求事項
- 情報セキュリティを組織的に行う体制を構築する。
- 機密管理が必要な情報を明確にし、ルールに基づき機密管理する。
- 指定を受けた機密情報及びこれを利用して創出した機密情報の明確化
- 機密情報の受け渡しに関する管理ルール
- 職場でのアクセス管理(物理的セキュリティ・入退室に関するルール)
- 情報資産の持ち出し、持ち込みに関する管理ルール(パーソナルコンピュータ及び同等のクライアント端末(以下、PC)、ノートPC、カメラ付携帯電話、PDA、半導体メモリーカードやUSBメモリ等(以下、電子媒体)、ドキュメント
- ITシステムでのアクセス管理(IDとパスワードの管理ルール)
- ITシステム(含むPC)の設置及び廃棄に関する管理ルール
- 不正プログラムやコンピュータウイルスに対する管理ルール
- 事業継続の確保のためのバックアップに関する管理ルール
- 機密保持の誓約等、情報漏洩を防止する人的な対策を実施する。
- 情報セキュリティの教育・訓練の実施
- 従業員との機密保持誓約書の締結
- 情報セキュリティの事故が発生した場合の対応を明確にし、実施する。
- 事故報告・対応体制の確立
- 事故対応マニュアルの作成
- 再発防止策の策定と実施
- 継続的な改善活動が実施できる情報セキュリティのPDCAを実施する。
- 情報セキュリティが正しく実施されているか、自己点検の実施
- 自己点検結果に基づく改善の仕組みの構築
4.実施
当社は、前述の<2 適用範囲>における機密保持を実現できるよう、<3 情報セキュリティ要求事項>を含んだ「情報セキュリティ管理策マニュアル」を策定する。
