1. 基本方針
Core-Business株式会社(以下、「当社」)は、情報資産を重要な経営資源と位置付け、適切な管理を行うことで、不正アクセス・情報漏洩・改ざんなどのリスクを防止し、事業継続性を確保します。本ポリシーは、当社が提供する各種サービスにおける情報セキュリティを確保するための指針とします。
2. 適用範囲
本ポリシーは、当社の役員、従業員(正社員・契約社員・派遣社員)、および当社の業務に関与するすべての関係者に適用されます。
3. セキュリティ対策基準
(1) アクセス管理
- 社内システムおよびクラウドサービスへのアクセスは、適切な権限管理のもと運用する。
- パスワードは12文字以上とし、英数字および記号を組み合わせる。
- 多要素認証(MFA)を導入し、不正ログインを防ぐ。
- 従業員の退職時または異動時には、不要なアクセス権限を速やかに削除する。
(2) デバイス・ネットワーク管理
- 社用PCおよびモバイル端末には最新のウイルス対策ソフトを導入し、定期的に更新する。
- 社内ネットワークは暗号化し、社外からのアクセスにはVPNを利用する。
- USBメモリの使用を原則禁止し、例外的に使用する場合は事前承認を得る。
(3) データ保護・バックアップ
- 重要データは暗号化して保存し、アクセス権限を制限する。
- 顧客情報や機密データは社外共有を原則禁止し、必要な場合は適切な承認を得る。
- 定期的なバックアップを実施し、バックアップデータを安全な場所に保管する。
(4) メール・ウェブセキュリティ
- フィッシングメールの防止策として、送信元確認や不審なリンクのクリックを禁止する。
- 業務で使用するクラウドサービスや外部システムの利用は、IT部門の承認を得たものに限定する。
- 社員向けに定期的なサイバーセキュリティ研修を実施する。
(5) 物理セキュリティ
- クリーンデスクポリシーを適用し、機密情報の放置を禁止する。
- 来訪者は、不要なエリアへの立ち入りを制限する。
4. インシデント対応
- 情報漏洩、不正アクセス、ウイルス感染などのインシデントが発生した場合は、速やかに責任者に報告する。
- インシデント発生後は、影響範囲の特定、原因分析、再発防止策の策定を行う。
- 重大インシデントの場合、社内外の関係者への適切な情報共有を行う。
5. 教育・啓発活動
- 全社員を対象に、年1回以上のセキュリティ研修を実施する。
- セキュリティポリシーの改定時には、速やかに従業員へ通知し、理解を促進する。
- 社員のセキュリティ意識を高めるため、定期的にフィッシングテストを実施する。
6. ポリシーの見直し
本ポリシーは、最新のセキュリティ脅威や技術の変化に対応するため、定期的に見直しを行い、必要に応じて更新します。
