情報セキュリティ基本方針

1. 目的

本基本方針は、[中京スクエア](以下「当社」という)が保有する情報資産を、あらゆる脅威から保護し、顧客および社会からの信頼を維持することを目的とします。

2. 適用範囲

本基本方針は、当社の役員、従業員、および当社の情報資産を利用するすべての者に適用されます。

3. 情報セキュリティ目標

  • 顧客情報の漏洩、改ざん、紛失等の防止
  • 情報システムの安定稼働の確保
  • 法令、規制、および契約上の義務の遵守
  • 情報セキュリティに関する教育・訓練の実施
  • 継続的な情報セキュリティ対策の見直しと改善

4. 情報セキュリティ体制

  • 情報セキュリティ責任者の任命
  • 情報セキュリティ委員会の設置
  • 情報セキュリティに関する役割と責任の明確化

5. 情報資産の管理

  • 情報資産の分類と評価
  • 情報資産のリスク評価と対策の実施
  • 情報資産の適切な保管と管理

6. 情報セキュリティ対策

  • 技術的対策:
    • 不正アクセス対策(ファイアウォール、IDS/IPS等)
    • ウイルス対策、マルウェア対策
    • アクセス制御、権限管理
    • データの暗号化
    • バックアップと復旧
  • 物理的対策:
    • 入退室管理
    • 監視カメラの設置
    • 情報機器の適切な設置と管理
  • 人的対策:
    • 情報セキュリティに関する教育・訓練の実施
    • パスワード管理の徹底
    • ソーシャルエンジニアリング対策
    • 私物デバイスの業務利用制限(BYOD対策)
    • 退職時のアカウント削除と情報返却

7. 法令遵守

  • 個人情報保護法、金融商品取引法等の関連法令の遵守
  • 業界ガイドラインの遵守

8. インシデント管理

  • インシデント発生時の対応手順の策定
  • 報告体制の確立
  • 証拠保全と原因究明
  • 再発防止策の策定と実施

9. 事業継続計画(BCP)

  • 緊急時における事業継続計画の策定
  • バックアップ体制と復旧手順の確立
  • 定期的な訓練の実施

10. ポリシーの見直しと改善

  • 定期的なポリシーの見直しと更新
  • 技術や脅威の変化への対応
  • 従業員からのフィードバックの反映

付則

  • 本基本方針は、[令和2年2月25日]より施行します。

具体的な対策例

  • 顧客情報の暗号化:顧客の個人情報や契約情報をデータベースで暗号化し、不正アクセスから保護します。
  • 多要素認証の導入:従業員がシステムにアクセスする際に、パスワードに加えて指紋認証やワンタイムパスワードなどの多要素認証を導入し、不正アクセスを防止します。
  • 定期的なセキュリティ研修の実施:従業員向けに、情報セキュリティに関する研修を定期的に実施し、セキュリティ意識の向上を図ります。
  • 監視体制の強化:ネットワークやシステムの監視体制を強化し、不正アクセスや情報漏洩の早期発見・早期対応に努めます。