基本方針
当法人は、IT関連法人として公共団体を中心としたサービスを展開する業であることを鑑み、当法人が管理する情報資産の価値とそれを保護する情報セキュリティの重要性を十分認識し、これらを適正に管理するため、情報セキュリティマネジメントシステムを構築し、継続的改善に全社挙げて取り組むことを宣言します。
(1)ISMSの目的を設定するための枠組みを含み、情報セキュリティに関する全般的な方向性及び行動指針をたてること。
(2)事業上の要求事項及び法的又は規制要求事項、並びに契約上のセキュリティ義務を考慮すること。
(3)ISMSの確立及び維持が行われるように、当法人の戦略的なリスクマネジメントの観点から整合をとる。
(4)リスクを評価するための基準を確立する。
(5)理事長による承認を得る。
行動指針
1.理事長は、この基本方針及びISMSマニュアルヘの支持・支援を明確に表明し、全ての職員及び協力会社の要員が必要とする情報を提供し、率先してISMSを推進する。
2.全ての職員及び協力会社の要員は、情報セキュリティ基本方針を維持するために制定された手順を順守する。
3.全ての職員及び協力会社の要員は、業務遂行において法規制及び情報セキュリティに関連する契約条件を順守する。
4.当法人は、全ての職員及び協力会社の要員に対して、情報セキュリティの重要性と意識の向上を図るための教育・訓練を、定期的に実施する。
5.ISMSの構築にあたり、情報資産を取り巻く環境の変化に、迅速に対応できるリスクアセスメントの手法、体制及び手順を整備する。
6.情報資産の脆弱性及び情報資産をリスクにさらす恐れのある脅威を管理するために、適切なリスクアセスメントを通して、情報資産の価値を特定する。
7.この情報セキュリティ基本方針及びISMS全体を監視し、定期的に見直し、継続的に改善することにより、リスクを許容可能な水準に維持する。
8.全ての職員及び協力会社の要員は、発生した又はその疑いのある情報セキュリティの違反・事故及び弱点を全て報告し、調査され、解決されるように取り扱う。
9.全ての職員及び協力会社の要員に対して、就業規則又は当法人のISMSを順守することを要求するとともに、当法人、顧客、協力会社の情報資産の保護を危うくする故意の行為を行った場合は、就業規則に基づいて処分されるものとする。
情報セキュリティ方針群
| A.5.1.1の具体的方針対象 |
方 針 |
| a) アクセス制御(箇条9) |
地域の公共性に鑑み、可用性よりも機密性、完全性を重視する。 |
| b) 情報分類(及び取扱い) (8.2) |
情報資産ごとにそれに含まれる情報を分類する。 |
| c) 物理的及び環境的セキュリテイ(箇条11) |
セキュリティシステムの完全性を最優先する。 |
| d) 次のような,エンドユーザ関連のトピック |
|
| 1) 資産利用の許容範囲(8.1.3) |
情報の重要度を考慮した利用の許容範囲を決定する。 |
| 2) クリアデスク・クリアスクリーン(11.2.9) |
整理整頓の基本理念のもと、情報セキュリティの完全性を確保する。 |
| 3) 情報転送(13.2.1参照) |
常に機密性を重視し、最適な暗号化技術(システム)を使用する。 |
| 4) モバイル機器及びテレワーキング(6.2) |
適用除外 |
| 5) ソフトウエアのインストール及び使用の制限(12.6.2) |
依頼に対する完全性を重視する。 |
| e) バックアップ(12.3参照) |
完全性を最優先する。 |
| f)情報の転送(13.2) |
常に機密性を重視し、最適な暗号化技術(システム)を使用する。 |
| g) マルウエアからの保護(12.2) |
ファイアウォール及び端末ソフトウェアの2段階でブロックする。 |
| h) 技術的ぜい弱性の管理(12.6.1) |
常に外部情報を監視・注視し、ソフトウェアの最適な版管理により完全性を最優先する。 |
| i) 暗号による管理策(箇条10) |
優先順位として@機密性A完全性B可用性とする。 |
| j) 通信のセキュリテイ(箇条13) |
常に機密性を重視し、最適な暗号化技術(システム)を使用する。 |
| k) プライバシー及び個人を特定できる情報(以下, PIIという.)の保護(18・1・4) |
“個人情報の保護に関する法律”を順守する。 |
行動指針
1.理事長は、この基本方針及びISMSマニュアルヘの支持・支援を明確に表明し、全ての職員及び協力会社の要員が必要とする情報を提供し、率先してISMSを推進する。
2.全ての職員及び協力会社の要員は、情報セキュリティ基本方針を維持するために制定された手順を順守する。
3.全ての職員及び協力会社の要員は、業務遂行において法規制及び情報セキュリティに関連する契約条件を順守する。
4.当法人は、全ての職員及び協力会社の要員に対して、情報セキュリティの重要性と意識の向上を図るための教育・訓練を、定期的に実施する。
5.ISMSの構築にあたり、情報資産を取り巻く環境の変化に、迅速に対応できるリスクアセスメントの手法、体制及び手順を整備する。
6.情報資産の脆弱性及び情報資産をリスクにさらす恐れのある脅威を管理するために、適切なリスクアセスメントを通して、情報資産の価値を特定する。
7.この情報セキュリティ基本方針及びISMS全体を監視し、定期的に見直し、継続的に改善することにより、リスクを許容可能な水準に維持する。
8.全ての職員及び協力会社の要員は、発生した又はその疑いのある情報セキュリティの違反・事故及び弱点を全て報告し、調査され、解決されるように取り扱う。
9.全ての職員及び協力会社の要員に対して、就業規則又は当法人のISMSを順守することを要求するとともに、当法人、顧客、協力会社の情報資産の保護を危うくする故意の行為を行った場合は、就業規則に基づいて処分されるものとする。
平成27年5月1日
 |
|
特定非営利活動法人 東濃情報ネットワーク |
|
理事長 |
虎 山 義 秀 |
|
ISMS管理責任者 |
田 財 博 史 |
|
相談窓口 |
|
|
電話 |
0572−23−7887 |
|
FAX |
0572−23−7877 |
|
E-Mail |
info@touno-npo.com |
| 
