情報システム管理規程~テンプレート~

IPO・バリュエーション

ここでは情報システム管理規程のテンプレートを提示します。
情報システム関連のインフラ全般や個人情報等の重要情報をカバーする規程となります。
会社の状況や導入しているセキュリティシステム・体制にあわせてカスタマイズするのが良いです。

情報セキュリティ関連の規程類は下記になります。

スポンサーリンク
スポンサーリンク

第1章 総則

(目的)
第1条
本規程は、当社の情報資産が常に盗聴、侵入、破壊、改ざんなどの脅威にさらされていることを認識し、ネットワークを通じて正確な情報及び安定的な情報サービスの提供を確保することを目的とする。そのためセキュリティを実現し、当社のネットワーク及び取り扱う情報資産を適切に保護するための基本事項を定めたものである。

(定義)
第2条
本規程で掲げる用語の定義は、次のとおりとする。

  • 利用者:社内で情報システムを利用する者をいう。
  • ソフトウェア:業務用プログラム、アプリケーションプログラム、ユーティリティプログラムなどのプログラムをいう。
  • 情報システム:ハードウェア、ソフトウェア若しくはネットワーク又はこれらの複合体をいう。
  • バックアップ:プログラム、データなどと同一の内容を別の媒体に記録することをいう。
  • ファイル:記憶装置又は記録媒体上に、電子的又は光学的に記録されているプログラム、データなどをいう。
  • 機器:ハードウェア、通信回線又は通信機器をいう。
  • セキュリティ機能:プログラム、データなどの機密性、保全性及び可用性を確保するための機能をいう。
  • 重要データ:当社及び顧客の情報を記載した記録媒体並びにその複写物のうち、特にその内容を他に漏えいしてはならないものをいう。具体的には、個人データ、顧客から預かったデータ、社内機密データ、その他、漏えいを禁止すべきデータを指す。
  • 情報資産:当社が管理運営する情報、情報処理機器・通信装置など情報を取扱う機器、ソフトウェア、用室・電源・空調などの施設・設備、それらを取扱う人材をいう。

(守秘義務)
第3条
情報システムの企画・開発・運用並びに利用で知り得た情報や当社のセキュリティに関する事項を外部に開示・漏えいしてはならない。ただし、情報システム管理者の承認を得たものはこの限りでない。

(罰則)
第4条
本規程に故意又は重大な過失により違反した役員及び従業員は、就業規則などの定めるところにより懲戒に処するものとする。

(改廃)
第5条
本規程の改廃は、代表取締役の決裁による。

スポンサーリンク

第2章 組織・体制・役割

(情報システム管理者)
第6条
代表取締役は社内の情報システムに責任を持てる者を情報システム管理者として1名以上指名しなければならない。

(部門管理者)
第7条
各部門長は、1名以上かつ必要最小限の部門管理者を任命しなければならない。

(情報システム管理者および部門管理者の責務)
第8条
情報システム管理者および部門管理者(以下「管理者」という。)の責務は、次のとおりとする。

利用者管理

  • サーバを直接利用できる者は、原則として管理者のみとしなければならない。
  • 個人IDを利用者単位で割り当て、パスワードを必ず設定しなければならない。
  • パスワードは容易に推測されないように設定し、その秘密を保たなければならない。

リスク認識

管理者は、サーバに格納された情報、及びその情報のもととなる紙、記録媒体について、情報への不正アクセス、情報の紛失、破壊、改ざん及び漏えいのリスク(以下「リスク」という。)が存在することを認識するとともに、自己の所属する部門内に周知徹底しなければならない。

情報管理

管理者は、リスクを回避するために、以下の予防措置を講じて情報を管理しなければならない。

  • 通信経路上の情報は、漏えいを防止する仕組みを確立しなければならない。
  • 重要な情報を記録した紙、記録媒体などは、安全な場所に保管しなければならない。
  • 重要な情報を記録した紙、記録媒体などを廃棄する場合は、内容が漏えいしない方法で行わなければならない。
  • ファイルのバックアップを随時行い、その記録媒体などを安全な方法で保管しなければならない。

サーバ管理

管理者は、リスクを回避するために、以下の予防措置を講じてサーバを管理しなければならない。

  • サーバは、格納されるデータ又はファイルの機密性に応じた場所に設置し、管理しなければならない。
  • 移動可能な機器は、盗難防止策を講じなければならない。
  • ネットワークを介して外部からサーバ管理を行う場合は、認証機能、暗号機能及びアクセス制御機能を設定しなければならない。

情報収集

  • セキュリティ対策に関する情報を随時収集しなければならない。
  • 収集した情報を分析し、重要な情報については速やかに対応しなければならない。
スポンサーリンク

第3章 データの取扱・保管

(アクセス権限の設定)
第9条
重要データはアクセス権限を設定するようにし、利用者以外がアクセスできないような措置を講じる。

  1. 重要データへのアクセス権限を付与する利用者数を必要最小限に限定する措置を講じる。
  2. 管理者は、アクセス権限の登録、変更、抹消の記録を管理簿などにより管理する。
  3. 管理者は、利用者の役割に応じたアクセス権限が適切に付与されているか次の項目を踏まえ、定期的にアクセス権限の見直しを行う。
  • 所属、職制、組織などの変更時
  • 長期出張、休職、退職時
  • 新システム稼動時

(個人IDとパスワードの管理)
第10条
個人IDおよびパスワードは次の要領で取り扱わなければならない。

  1. 自分の個人IDおよびパスワードは各個人で管理を行い、他の人に利用させてはならない。
  2. パスワードは6桁以上の文字数で数字、アルファベット、記号などを組み合わせて設定する。
  3. 個人に関連する情報や安易なものなど、推測されやすいパスワードは設定しない。
  4. パスワードは情報システム管理者の指示に従い変更しなければならない。

(個人IDとパスワードの運営方法)
第11条
個人IDおよびパスワードは次の要領にて運営する。

  1. 個人IDは、情報システム管理者が管理を行い、必要最小限業務に必要な者に原則個人単位で割り当てる。ただし、業務上やむを得ない場合は、必要最小限のグループ単位で割り当てる。
  2. 個人IDは定期的に見直しを行い、無断変更・追加されていないか確認する。
  3. 個人ID利用者の退職、異動など個人IDが不要となった場合は速やかに削除を行う。
  4. 一定回数以上ログインに失敗したIDを停止する。
  5. 入力したパスワードは、非表示にする。

(損壊の防止)
第12条
重要データの損壊を防止するために、定期的に記録媒体などにバックアップを行う。

2.バックアップした記録媒体は、所定の保管棚などの施錠可能な場所に保管する。

(保管場所)
第13条
重要データの保管は、所定の保管棚などに格納し、常に施錠しなければならない。

(暗号化の設定)
第14条
重要データは暗号化を行わなければならない。

(電子メールのデータ送信)
第15条
重要データを電子メールなどの方法で送信することは原則禁止する。ただし業務上やむを得ない場合は、暗号化を行うなどの措置を講じ、必要最小限とする。

(FAXの送信)
第16条
重要データをFAXで送信する場合は、宛先番号確認、受領確認など、誤送信の防止及び重要データの紛失など防止のための対策を講じる。

2.FAXより出力される送受信結果レポートなど送受信記録については、所定の保管棚などの施錠可能な場所に保管する。

(紙及び記録媒体の授受)
第17条
重要データを記録した紙及び記録媒体の授受は、送付状、授受管理票などにより確認する。

(ネットワーク上でのデータの授受)
第18条
ネットワークを介して外部との重要データの授受を行う場合は、認証機能、暗号機能及びアクセス制御機能を設定する。又、WEBホームページ上で重要データを収集する場合は必ずSSLなどの暗号化の措置を講じる。

(アクセスログの取得及び点検)
第19条
重要データのアクセスにあたっては、アクセスや操作などの記録(アクセスログ)を取得する。

2.情報システム管理者又は管理者は、取得したアクセスログを週1回、および都度(漏えいなどが発生又はその可能性が高いと判断した場合)点検を実施し、その記録を管理簿などにより管理する。

(ログの管理)
第20条
取得したアクセスログについては、消去や改ざんをされないために別サーバに保存するなど必要な措置を講じて安全な場所に最低6ヶ月間保管する。

第4章 セキュリティ

(パソコンに対する措置)
第21条
当社が所有又は保有するパソコンは、セキュリティを確保するため、次の措置を講じる。

  1. ノートパソコンなど携帯可能な機器は、退社時に鍵のかかる引出しに格納する又はワイヤーなどによる固定など、盗難防止策を講じる。
  2. 各部門が管理しているすべてのパソコンは台帳を作成し、実態を把握するものとする。
  3. パソコンが無断で利用されないよう個人認証措置やパスワードによる保護付きスクリーンセーバ(設定時間:5分)などの対策を講じる。
  4. 重要データは各クライアントパソコンに保管せず、アクセス制御やバックアップを遂行している部門のファイルサーバに格納する。
  5. 個人所有のパソコン、フロッピーディスク及びフラッシュメモリなどの記録媒体を社内に持ち込んではならない。
  6. 長期間利用しないパソコンは、ネットワークから切り離す措置を講じる。
  7. ノートパソコンの社外への持ち出しを禁止する。ただし、業務上社外への持ち出しが必要になった場合は、部門長の承認を得たうえで、セキュリティ対策とBIOSパスワードの設定を情報システム部門へ依頼する。
  8. 業務上社外へノートパソコンを持ち出した場合、以下の点を遵守し、セキュリティを確保する。
  • 常時携帯する(移動時も含め、ノートパソコンを手の届かぬところに放置しない)。
  • 移動時には最新の注意を払い、盗難、置き忘れ等による紛失の対策を講じる。
  • 移動時、および未使用時には必ずログオフし、電源のOFFを行う。
  • ノートパソコンを携帯したまま、目的外の場所へ立ち寄らない。

(サーバに対する措置)
第22条
当社が所有又は保有するサーバは、セキュリティを確保するため、次の措置を講じる。

  1. 情報資産を全社的規模で集約し格納するようなサーバは、盗難、破壊、破損などの物理的な保護対策のため、サーバルームなど許可を与えられた者以外立ち入れない場所(以下「サーバルーム」という。)又は施錠可能なマシン収納ラックに設置し、マシン収納ラックの鍵を適切に管理する。
  2. 重要データを格納したサーバは、サーバルーム若しくは施錠可能なマシン収納ラックへの設置又はワイヤーなどにより固定する。
  3. サーバ管理者を特定し、サーバ管理者以外の者は、サーバを操作してはならない。
  4. 重要なファイルへのアクセス権限は、担当者以外の者に与えてはならない。
  5. サーバが無断で利用されないよう、個人認証措置やパスワードによる保護付きスクリーンセーバ(設定時間:5分)などの対策を講じる。
  6. 各部門で管理しているサーバの持ち出しは禁止する。
  7. 長期間利用しないサーバは、ネットワークから切り離す措置を講じる。
  8. 各部門が管理しているすべてのサーバは台帳を作成し、実態を把握できるようにする。
  9. サーバルーム若しくは施錠可能なマシン収納ラックが設置された室は、火災対策のため火気厳禁とし、必要があれば消火器を設置する。又、漏水対策のためスプリンクラーの直下にしないなどの措置を講じる。
  10. サーバには、地震対策のため固定ベルトや耐震マット敷設などの措置を講じる。
  11. サーバに必要があれば停電対策のため、無停電電源装置(UPS)を設置する。

(サーバルーム)
第23条
サーバルームについては、常時施錠又は電子ロックなどの施錠設備により、入室を制限する。

2.サーバルームへ入室する場合、入室者の氏名及び入退室の時間を台帳などに記録しなければならない。

3.情報システム管理者又は管理者は、業務時間外、休日及び深夜時間帯などを重点的に不正な入室者がいないかどうか、台帳などの記録を定期的に確認する。

4.サーバルームの鍵については、情報システム管理者が保管を行う。

5.電子ロックの解除番号は、決められた期間ごとに変更しなければならない。

6.退職者、異動者など入室資格喪失者が発生した場合は、速やかに電子ロックの解除番号の変更又はICカードなど入室資格の登録されたカードを回収しなければならない。

7.サーバルームに必要があれば監視カメラを設置する。

(ネットワーク機器及び配線における措置)
第24条
当社のネットワークの機器及び配線は、機密性、完全性及び可用性を踏まえ、次の措置を講じるものとする。

  1. ネットワークの構成変更は、情報システム管理者に承認を得、情報システム管理者の指示に従って構築する。
  2. 情報システム管理者は、ネットワークの配線、電源ケーブルについて傍受又は損傷を防止するためフリーアクセスフロアーやモールなど、外部に露出しない措置を講じるものとする。
  3. 管理者は部門のルータやスイッチングハブなどのポートに部外者が配線を変更・追加していないかを定期的に点検し、情報システム管理者へ報告する。
  4. ルータなどの通信機器を導入する各部門は、セキュリティ機能が正確に設定されているかを確認する。

(携帯電話に対する措置)
第25条
業務で使用する当社名義の携帯電話については、盗難・紛失時に個人情報が漏えいしないよう、次の措置を講じる。

  1. 登録する個人情報は、必要最低限の情報とし携行・保管には常に厳重な注意を払うものとする。
  2. オートロックやアドレス帳制限などの利用制限を設定する。

(情報システム利用時の禁止項目)
第26条
利用者は、情報システムを利用する際、次の項目を遵守する。

  1. 業務目的以外のデータ交換及びデータ持ち出しを禁止する。
  2. 電子メールやサイトアクセスなどのインターネットサービスの不適切な利用を禁止する。
  3. 良識に反する電子メールの利用を禁止する。
  4. 無許可のソフトウェアの使用を禁止する。
  5. ファイル交換ソフト等の危険性の高いソフトウェアのパソコンへのインストールを禁止する。

(コンピュータウィルス対策)
第27条
コンピュータウィルス対策として次の感染防止策を講じなければならない。

  1. 情報システム管理者は、ウィルス対策ソフトの最新バージョンを提供する。
  2. 情報システム管理者は、ネットワークに接続されている情報処理機器について、ウィルス対策ソフトを管理し、最新でない場合は、利用者に最新状態となるよう指示・指導する。
  3. 利用者は、使用する情報処理機器に情報システム管理者が定めたウィルス対策ソフトを必ず導入し、最新バージョンであることを維持する。
  4. 外部ネットワークからファイル及びソフトウェアを取り入れた際、情報処理機器において、該当ファイル及びソフトウェアのウィルスチェックを実施する。
  5. 差出人が不明のメール、又は不自然な添付メールの添付ファイルは削除する。

(セキュリティパッチの適用)
第28条
情報システム管理者はセキュリティパッチについて適宜判断し、必要と判断した場合にオペレーションシステム、アプリケーションなどに対するセキュリティ対策修正ソフトウェアなどにセキュリティパッチを適用する。

第5章 運用

(情報システムの監視)
第29条
重要な情報システムについては、侵入検知などのツールを利用し監視する。

(プログラムドキュメントの管理)
第30条
情報処理に係わるプログラム及びこれらに付随するドキュメントの管理に関する措置を定め、機密保護と安全の確保を的確に行う。

(脅威発生時の対応)
第31条
脅威が発生した場合には、次の対応を行うものとする。

  1. 不正アクセス、ウィルスなどがネットワーク経由で拡大、重要データの重大な被害が発生し、情報資産の防護のためにネットワークの切断がやむを得ない場合は、ネットワークを切断する措置を講じる。
  2. 情報資産が深刻な被害を受けている時、災害などで電源供給確保が困難な時など、情報資産の防護のために情報システムの停止がやむを得ない場合は、情報システムを停止する。

(再発防止の措置)
第32条
情報システム管理者は、再発防止に対処するため、当該脅威の対応策を検討の上、本規程などの改善を行い、再発の防止策を講ずる。

(重要データの廃棄)
第33条
重要データの廃棄に関しては、機密の漏えいを防止するために必ず判読不能になるまで物理的に破壊するか、又は、内容を消去した後、廃棄しなければならない。

(機器廃棄の措置)
第34条
情報機器の廃棄については次の項目を遵守するものとする。

  1. 情報処理機器、通信機器などの機器内に情報資産が格納されている場合、記録媒体をディスク情報消去ツールでの消去、又は記録媒体の破壊を行う。
  2. 廃棄を外部業者に委託する場合は文書により授受を明確にし、廃棄の証明書を受領する。

第6章 評価・見直し

(評価・見直し)
第35条
年度毎に環境の変化や新たな脅威が発生していないかを分析・評価し、本規程の見直しを行うとともに変更内容の妥当性を確認する。

2.環境の変化や新たな脅威が発生した時は適宜本規程の見直しを行うとともに変更内容の妥当性を確認する。

3.本規程に対し、社内又は社外の専門家から定期的に助言を受け、その内容を公表する。

附則

本細則はYYYY年MM月DD日より施行する。

以上

コメント

タイトルとURLをコピーしました