情報セキュリティポリシー

河村行政書士事務所&TMビジネスコンサルティングは、情報基盤の整備と必要なセキュリティ水準を確保することは円滑な業務に不可欠であり、「情報セキュリティポリシーに関するガイドライン」を踏まえ、情報セキュリティポリシーを定めました。

1.目的

河村行政書士事務所&TMビジネスコンサルティング (以下「当事務所」という。)における情報基盤の整備と必要なセキュリティ水準を確保することは、当事務所の円滑な業務に不可欠である。
当事務所は、「情報セキュリティポリシーに関するガイドライン(平成 12 年 7 月 18 日情報セキュリティ対策推進会議決定)」を踏まえ、情報セキュリティポリシーを定め、当事務所全ての構成員の理解と協力により次に掲げる目標の達成に取り組む。
(1)当事務所の情報資産に対する、機密性・完全性・可用性を損なう内外の脅威からの 保護
(2)所内外の情報セキュリティを損ねる加害行為の抑止
(3)情報資産の重要度による分類とそれに見合った管理
(4)情報セキュリティに関する情報取得の支援

2.定義

情報セキュリティポリシー:情報セキュリティ対策について、総合的・体系的かつ具体的にまとめたもので、
 根本的な考えを示す情報セキュリティ基本方針と情報セキュリティを確保するために遵守すべき行為及び
 判断の基準を示す情報セキュリティ対策基準からなる。
情報セキュリティ:情報資産の機密性、完全性及び可用性を維持すること。
機密性:情報にアクセスすることを認可された者だけがアクセスできることを確実にすること。
完全性:情報及び処理方法の正確さ及び完全である状態を安全防護すること。
可用性:許可された利用者が、必要なときに情報にアクセスできることを確実にすること。
情報資産:情報(電磁的に記録されたもの)及び情報を管理(蓄積、伝送、処理等)する仕組みをいう。
 情報を管理する仕組みには、情報システム並びに情報システムの開発、運用及び保守のためのドキュメン
 ト類が含まれる。
情報システム:システム機器、ソフトウェア、システム情報及び記録媒体で構成され、これらで情報を管理
 し業務処理を行うもの。
システム機器:ネットワーク機器(ルータ、スイッチ、ハブ、ファイアウォール、ケーブル等)、サーバ、
 メインフレームシステム、パーソナルコンピュータ、プリンター等の情報システムを動作させるための
 ハードウェアのこと。
システム情報:パスワードファイル、アクセス記録、ネットワーク設定情報等の情報システムを動作及び管
 理するために必要な設定情報及び仕様書、設計書などのこと。
記録媒体:情報を電磁的に記録した媒体(ハードディスク、フロッピーディスク、フラッシュメモリー、
 CD-ROM、CD-R、DVD-ROM、DVD-RAM、MO等)。

3.情報セキュリティポリシーの構成

情報セキュリティポリシーは、情報セキュリティ基本方針及び情報セキュリティ対策基準から構成される。
なお、情報セキュリティ対策基準に基づく情報資産のセキュリティ対策に関する具体的な実施手順は別途定
める。

4.適用と範囲


(1) 対象組織:この情報セキュリティポリシーは、対象とする組織を当事務所とする。
(2)対象情報資産:対象となる情報資産は、当事務所が管理するすべての情報資産及び当事務所のネット
   ワークに接続されるシステム機器とする。
(3)対象者:上記の対象情報資産に係わる者とする。

5.組織・体制

情報セキュリティ責任者をおき、当事務所における情報セキュリティ対策を推進する。
そのための体制・責任を明確にする。

6.情報資産の分類と管理

(1)情報資産の分類:当事務所の情報資産の適切な保護を維持するため、機密性、完全性、可用性等の観点
   から情報資産を重要度により分類する。
(2)情報資産の管理:情報資産の管理方法、管理責任を規定し、重要度に応じた情報セキュリティ対策を行
   う。
(3)リスク分析・評価:情報資産の重要性、情報資産に対する脅威、現状における対策の脆弱性からリスク
   (潜在する損害の大きさ)を評価し、その評価に基づく効果的な情報セキュリティ対策を行う。

7.情報セキュリティ対策

上記のリスク分析・評価の結果及び関係する法令等に基づき、以下の情報セキュリテ ィ対策を講じるものと
する。
(1) 人的セキュリティ
 情報セキュリティポリシーに規定した事項を的確に実行し、検証していくための組織・ 体制に対して責任と
 権限を定め、当事務所の情報資産を用いた業務に携わる全ての所員及び外部委託業者等が実施すべき事項を
 周知徹底するなど、情報セキュリティポリシーを遵守する対策及び情報セキュリティポリシーに違反したと
 きの対策を講じる。
(2) 物理的セキュリティ
 情報資産を災害、事故並びに不正な立ち入りによる損傷・盗難・妨害等から保護するため、情報システムの
 設置環境やシステム機器の管理方法において物理的な対策を講じる。
(3) 技術的セキュリティ
 情報資産を不正プログラムからの脅威や内外の不正アクセス等から適切に保護する対策とその状況を監視す
 る対策などを、情報システム、所内ネットワーク及びコンピュータ等に技術的に組み込む対策を講じる。

8.情報セキュリティポリシーの運用並びに評価・改善

(1)実施手順:情報セキュリティ対策基準を確実に実施するため、情報システムや業務など適用範囲ごとに
 情報セキュリティ実施手順を策定する。
(2)運用並びに評価・改善:情報セキュリティを取り巻く状況の変化などに対応して有効性を維持するため
 定期的又は必要に応じて情報セキュリティポリシーの評価を実施し、その改善をはかる。なお、情報セキュ
 リティポリシーは策定・導入・運用・評価・改善を、循環的に行う。

情報セキュリティポリシーに関するお問合せ

TEL. 044-281-0455 FAX. 044-281-0455
e-mail h-kawamura@gyosei-consul.com
河村行政書士事務所&TMビジネスコンサルティング