情報セキュリティ基本方針

一般財団法人  阿蘇テレワークセンター

阿蘇テレワークセンター(以下、当センターといいます。)の情報セキュリティ基本方針は、阿蘇インターネット光を代表として、当センターがご提供するサービスを利用されるすべてのお客様並びに取引先の皆様から信頼され安心してご利用いただくと同時に、お客様の幸せと地域社会に貢献し続ける組織として相応しい情報セキュリティの水準を総合的、体系的かつ継続的に推進していくことを目的としています。

【 適用範囲 】

このセキュリティ基本方針は、当センターがご提供するすべてのサービスに関わる情報資産の生成、運用、利用および管理の業務に携わる次の者に適用します。

1.一般財団法人阿蘇テレワークセンター職員
2.契約により認められた事業者

当センターの運営に関わる者すべてが本趣旨を理解し、情報漏洩などの事件・事故や電源供給・ネットワーク接続などのサービスの一時停止や中断が起こらないよう、セキュリティ基本方針および運用手順を熟知、遵守して情報セキュリティの向上を目指す事を目標とします。

その中においては、取扱う個人情報、紙文書・電子データ・ハードウェア・ソフトウェア並びにサービスを事業の運営の基盤となる重要な情報資産として認識し、これらについて高い機密性・完全性・可用性の確保を行ってまいります。また、阿蘇インターネット光を代表とするインターネットへの接続サービスに関してはその性質上、情報資産の機密性および可用性を重視して保護し、また維持します。

具体的行動指針として以下のことを掲げます。

  • 当センターの情報資産が故意又は不注意によって、許可されていない者に開示されないようにすること
  • 監視システムおよび当センター入退室管理規程に従った、人的侵入に対するセキュリティの実施
  • 利用者が必要な場合に、サービスを受けられる状態を提供する可用性の確保
  • コンピュータウイルスやワームなどへの継続的な対策の実施
  • 災害・重大な事故などの緊急時に備えた事業継続計画の策定
  • 情報セキュリティ教育の実施・受講
  • 情報セキュリティの事故・弱点・違反の報告

また、当センターのセキュリティ管理を実施するため、セキュリティ委員会を設置します。セキュリティ委員会では、情報セキュリティ維持のための諸施策の検討および情報セキュリティの運用・管理を行うとともに、情報セキュリティ基本方針や運用手順の定期的な見直しを実施します。また、情報セキュリティ維持の諸施策の検討や実施の責任者として、セキュリティ管理責任者並びに担当者を設置し任命します。セキュリティ委員会は、情報資産に対し機密性・完全性・可用性の観点からリスクを評価するためのリスク評価基準を定め、リスクアセスメントを定期的に実施しなければならないものとします。】

リスクアセスメントに関してはリスク評価基準、アセスメントの構造を確立し、これに基づくリスクアセスメントの体系的なアプローチを定義します。このことにより情報資産の脅威と脆弱性を識別し、セキュリティ要求事項を識別します。

(情報資産の分類)
情報資産をその重要度に応じて分類し、それに応じたセキュリティ対策を行うものとします。

(情報資産への脅威)
情報セキュリティ基本方針を講ずるうえで、情報資産に対する脅威の発生度合いや発生した場合の影響を考慮するものとします。
特に認識すべき脅威は以下のとおりとします。

  1. 権限外者による故意の不正アクセス又は不正操作によるデータやプログラムの持出・盗聴・改ざん・消去、機器および記録媒体の盗難など
  2. 職員および外部委託者による意図しない操作、故意の不正アクセス又は不正操作によるデータやプログラムの持出・盗聴・改ざん・消去、機器および記録媒体の盗難など
  3. 地震、落雷、火災などの災害や事故、故障など

(情報セキュリティ対策)
当センターの情報資産を上記の脅威から保護するため、以下の情報セキュリティ対策を講ずるものとします。

  1. 人的セキュリティ対策
    情報資産に接する職員の情報セキュリティに関する権限や責任などを定めるとともに、すべての職員に情報セキュリティ基本方針の内容を周知徹底するため、教育・訓練を行います。
  2. 物理的セキュリティ対策
    不正な立入りなどから保護するため、入退室や機器管理上の物理的な対策を講じます。
  3. 技術的セキュリティ対策
    情報資産を不正なアクセスなどから適切に保護するため、情報資産へのアクセス制御、コンピュータウイルス対策などを実施します。
  4. 運用
    情報セキュリティ基本方針の実効性を確保するため、また、不正アクセスされることおよび不正アクセスによって被害を及ぼすことを防ぐため、入退室管理並びに設備稼働状況の監視などの運用面における必要な措置を講じます。また、障害が発生した際の迅速な対応を可能とするための緊急対応策などを講じます。

(情報セキュリティ管理策の策定)
当センターの情報資産について、上記の情報セキュリティ対策を講ずるに当っては、職員が遵守すべき事項および判断などの基準を統一したレベルで定める必要があります。そのため、情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ管理策を策定するものとします。

(情報セキュリティ実施手順の策定)
情報セキュリティ対策を確実に実施していくためには、個々の情報資産に関する管理策を具体的に定めておく必要があることから、情報セキュリティに関する業務マニュアルを策定するものとします。

また監査委員会を設置し、当センターの運営に関わる各部門が、情報セキュリティ基本方針や運用手順を遵守していることを定期的に監査します。また、情報セキュリティを取り巻く状況の変化に対応するために、基本方針、対策基準および実施手順の見直しや結果の有効性を評価するためにマネジメントシステムを導入し、運用と改善を継続して行います。

職員は、情報資産に関連する法令および規制や契約、並びに社内規定を遵守します。関連する法令などの継続的な周知および準拠は、セキュリティ管理責任者がその責任を負い実施します。

2012年6月28日
一般財団法人  阿蘇テレワークセンター
理事長 佐藤 義興

コメントは受け付けていません。