株式会社愛幸は、日本企業の一員として、以下の情報セキュリティ・ポリシーを作成し、情報企業として、
情報資産に対し必要な保護と適切な安全対策を実施する
1.定義
1) 情報セキュリティ・ポリシー
本情報セキュリティ・ポリシーは、情報セキュリティ管理の基本的な考え方を取り纏めたものであり、セキュリティ対策関連のいかなる施設も本情報セ キュリティ・ポリシーに則したものでなければならない。本情報セキュリティ・ポリシーの適用範囲は、当社が業務で使用する全ての情報資産及び情報資産を保 全するための設備、さらにこれら情報資産に接する全ての役員、社員、派遣社員、アルバイト及び業務委託先等とする。情報資産を利用する者は、情報セキュリ ティの重要性を認知し、この情報セキュリティ・ポリシーを遵守しなければならない。
2) 情報資産
情報資産とは、業務上で生じる全ての情報をいい、社内の情報のみならず、顧客情報等社外の情報も含み、またコンピュータ等による電磁的記録による情 報、文書により記録された情報等その記録媒体を問わない。情報資産は、業務遂行のみに利用することとし、職務活動外、個人的用件等に用いてはならない。
2.施策
1) 情報資産の分野と管理
役員及び社員は、情報資産を分類し、それぞれの分野に応じたセキュリティの保護を行う。また、情報資産毎に管理責任者を定め、管理責任者は情報資産に対して適切なセキュリティ対策を講じる。
2) 推進体制
役員及び社員、所要の情報セキュリティ対策を実施するほか、業務委託先等の第三者との情報セキュリティに関しても必要な対策が実施されていることを 確認する。会社は、役員及び社員に対して情報セキュリティ対策に関する適切な教育を実施するとともに、事故などの原因を追究の上、その損害を最小限に抑え るほか、未然に防止するための適切な処理を講ずる。また、情報セキュリティを脅かす社内外の不正な行為に対しては、毅然たる態度で臨む。
3) 物理的セキュリティの保護
役員及び社員は、情報資産に不正に侵入され東南、改ざん、破壊等の危険にさらされることのないよう適切な保護を行う。会社はオフィス並びにその設備、情報資産を取り扱う装置、ネットワーク等についても同様の保護を行う。
4) アクセス権限の管理
各部署は情報資産を参照、利用するための権限を定め、業務上正当な必要性を有する者のみがアクセスできるよう制御するとともに、無許可の不正なアク セスに対する危険性を排除するために適切な対策を講ずる。役員及び社員は、アクセス管理の重要性を理解した上で、パスワードや機器の使用を適切に行う。
5) 災害および事故への対策
会社は自然災害や、事故、機器の故障や不正行為によって、事業活動が中断、停止しないよう、適切な予防及び回復措置を講ずる。