・すべての従業員及び、関係する場合には契約相手に対して、ISMSマニュアルに規定する自覚教育、手順書教育を実施します。
・適用範囲内における情報及び情報処理施設に関する資産は、情報資産台帳において特定します。
・資産を持ち運ぶ場合、資産の入った電子機器、記録媒体、書類等は肌身離さず所持します。
・電子媒体を保管する場合、資産の分類に従い、極秘および社外秘のものは保管場所を定めて保管します。
・電子媒体を廃棄する場合、情報の消去、媒体の物理的破壊等、必要な対策を行います。
・紙媒体を廃棄する場合、極秘および社外秘のものは、シュレッダーにかける、廃棄処理業者に委託するなど、必要な対策を行います。
・セキュリティが保たれていることを確実にし、利用することを特別に認可したネットワーク及びネットワークサービスへのアクセスだけを、利用者に提供することを確実に行います。
・定期的にアカウントリストの見直しを行い、適切であるか、抹消漏れがないかを確認します。
・プロジェクト毎に、プログラムソースコードへのアクセス管理を行い、セキュリティが保たれた環境で保持します。
・暗号鍵は、暗号鍵の生成、保管、保存、読出し、配布、使用停止及び破壊を含むライフサイクル全体にわたって管理します。
・オフィスへの出入りは、社員証を携帯した当社役員、従業員、来館証を貸与された来館者、および当社社員の同伴による案内がある者のみに限定します。
・事務所の出入りについて、平日夜間及び休日にWebカメラでの監視を行います。
・重要な装置は許可されていない者による悪用や、誤用、または火災を防止できる環境に設置します。
・パソコン等の装置、機密情報、又は管理を要するソフトウェアは、事前承認なしに社外へ持ち出しません。
・クリアデスク・クリアスクリーン方針に従います。
・当社内で使用する情報システムにはアンチウィルスソフトを導入し、悪質なソフトウェアからの防護対策を行います。
・顧客や協力会社等、外部から持ち込まれる端末は原則として、当社の情報システムへの接続を認めません。
・不正アクセスを発見するため、アクセス履歴を保管します。
・無線LANを利用できる端末について、MACアドレスフィルタリングを行い、許可された機器以外の接続を制限します。
・無線LAN通信について適切な暗号化を実施し、運用します。
・外部組織から機密情報を預かった場合は預り証を発行し、情報名、当社の責任者、利用期限、返却/廃棄方法を明示します。
・電子メールを使用して機密性を要する情報を送受信する場合は、暗号化、電子署名などの処置を施します。
・外部にファイルを添付して電子メールを送信する際には、システム上でウィルスチェックを実施してから送信します。
・情報システムの取得、開発及び保守管理のプロセスにおいて、不正行為又は誤作業等に起因する情報セキュリティインシデントの発生を未然に防ぐため、対策方針に従って、環境を整備し、規程を作成して、プロセスを実施します。
・業務を外部委託する場合及び第三者が提供するサービスを利用する場合に、供給者に求める情報セキュリティ要求事項を特定し、事前に供給者と合意します。
・合意内容の監視及びレビューを適宜実施し、必要に応じて合意内容を見直します。
・システムやサービス上のセキュリティの弱点や脅威に気づいた場合、もしくは疑いをもった場合は速やかに対応を行います。
・リスク分析・評価結果、マネジメントレビューの結果、情報セキュリティ委員会の議事内容、セキュリティインシデントなどの情報を基に、情報システムの重大な故障又は災害の影響から保護すべき事業活動及び重要な業務プロセスの有無を判断します。
・適切な時間内で維持または復旧させるための事業継続計画を策定します。
・順守すべき法規制等に関して、新たに対応が必要となる法規制等の有無や、既に特定された法規制等の改正の有無の状況等を把握するため、適宜見直しを行います。