情報セキュリティ管理規程(大会社・全業種)
情報セキュリティ管理規程(大会社・全業種) のテキスト
情報セキュリティ管理規程
第1章 総 則
(目 的)
第1条 本規程は、○○株式会社(以下「会社」という。)が業務上取り扱う顧客、取引先など(以下「顧客等」という。)の情報資産および会社の情報資産を各種の脅威から適切に保護することにより、会社の事業活動を正常かつ円滑に行うことを目的とする。
(定 義)
第2条 本規程における用語の定義は、次のとおりとする。
(1)「役員」とは、会社の取締役および監査役をいう。
(2)「社員」とは、正社員、嘱託社員および受入出向社員をいい、臨時社員、派遣社員および協力会社社員は含まないものとする。
(3)「臨時社員」とは、パートタイマーおよびアルバイトをいう。
(4)「派遣社員」とは、労働者派遣契約に基づき会社に派遣されている社員をいう。
(5)「協力会社社員」とは、会社の業務委託先の社員または個人事業者で、会社との業務委託契約に基づき会社または会社の顧客等の情報資産を利用する者をいい、派遣社員は含まないものとする。
(6)「社員等」とは、社員、臨時社員および派遣社員をいうものとし、法律上または契約上、会社の指揮命令および規程・規則に従い会社の業務に従事する者をいう。
(7)「全社員」とは、役員、社員等および協力会社社員をいう。
(8)「情報資産」とは、情報、情報システム、およびこれらを適切に運用・管理・利用するために必要なものをいい、ハードウェア、ソフトウェア、ネットワークや記録媒体のほか、業務上知り得た情報、知識、ノウハウ等をすべて含むものとする。
(9)「情報セキュリティポリシー」とは、「情報セキュリティ基本方針」および情報セキュリティに関する規程、規則をいう。
(10)「情報セキュリティ」とは、情報資産の「機密性」、「可用性」および「完全性」を確保し、維持することをいう。
(11)「機密性」とは、情報資産を、アクセス権限を持つ者のみに所定の方法にて開示し、アクセス権限を持たない者から保護することをいう。
(12)「可用性」とは、情報資産を、アクセス権限を持つ者が必要なときに利用できるように保持することをいう。
(13)「完全性」とは、情報資産を、整合性を保ちながら改ざん等がなされることなく、正確に処理し、保持することをいう。
(適用範囲)
第3条 本規程は、業務上取り扱う顧客等の情報資産および会社の情報資産すべてに適用する。なお、顧客等の情報資産の管理・取扱い等について、契約等により特段の運用ルール等を定めている場合には、当該運用ルール等に従うものとする。
2 本規程は、前項の情報資産を利用する全社員に適用する。
第2章 情報セキュリティポリシーの構成
(情報セキュリティポリシーの構成)
第4条 本規程を含めた情報セキュリティポリシーの構成は「別表」(編注、略)に記載のとおりとし、本規程に定めのない個別の基準・ルール等については、「別表」に記載の規程・規則およびそれに関連する規程・規則、運用基準書、運用マニュアル、ガイドラインなどに定めるものとする。
第3章 組織体制
(情報セキュリティ管理委員会)
第5条 会社は、情報セキュリティに関する統括組織として、情報セキュリティ管理委員会を設置する。
2 情報セキュリティ管理委員会は、情報セキュリティポリシーに基づく情報セキュリティの徹底を推進するとともに、情報セキュリティに関し情報セキュリティポリシーに定めのない事項についての判断基準を示す等、全社における情報セキュリティ全般につき統括する。
3 情報セキュリティ管理委員会の委員長は事業本部の長とし、情報処理担当部門を事務局とする。
4 情報セキュリティ管理委員会は、必要に応じて関連担当部門と連携のうえ任務を遂行するものとする。
5 情報セキュリティ管理委員会は、委員長の任命した者を情報管理責任者とし、必要に応じて情報セキュリティの状況を確認させることができるものとする。
(情報管理責任者の責務)
第6条 情報管理責任者は、組織内の情報セキュリティにつき責を負うとともに、当該組織内における指導・啓蒙や適切な環境の整備等、情報セキュリティポリシーを徹底するために必要な措置を講じなければならないものとする。
2 情報管理責任者は、当該組織内における情報セキュリティの状況をつねに把握可能にし、その維持、向上を図るため情報管理担当者を指名することができる。
(教育研修責任者の責務)
第7条 教育研修責任者は、情報セキュリティポリシーに定められた事項を理解・遵守するとともに、全社員に情報セキュリティポリシーを遵守させるための教育を企画・運営する責任を負うものとする。
(システム監査責任者の責務)
第8条 個人情報保護監査責任者はシステム監査責任者となり、情報セキュリティポリシーに定められた事項を理解・遵守するとともに、定期的に情報セキュリティポリシーが遵守されているかを監査する責任を負うものとする。
第4章 教 育
(教育の実施)
第9条 教育研修責任者は、全社員に情報セキュリティポリシーを遵守させるための教育を企画・運営するものとする。なお、教育の内容およびスケジュール等は、事業年度ごとに教育研修責任者が定めるものとする。
第5章 リスク評価と監査
(リスク評価)
第10条 情報セキュリティ管理委員会は、技術の進歩や業務環境の変化等も考慮のうえ、情報資産のリスク評価を多方面から継続的に実施し、それを情報セキュリティポリシーおよびそれに基づく各種施策に反映させることにより、情報セキュリティの維持・向上を図るものとする。
(監査の実施)
第11条 システム監査責任者は、情報セキュリティポリシーの遵守状況を定期的に監査するものとする。
2 システム監査責任者より情報セキュリティポリシーの遵守状況につき改善、勧告等を受けた被監査部門は、改善計画書を作成のうえ、適切な是正措置を講じなければならないものとする。
第6章 罰 則
(情報セキュリティポリシーに違反した場合の措置)
第12条 社員が情報セキュリティポリシーに違反した場合は、会社の就業規則に基づき懲戒に処す。ただし、受入出向社員については、出向元会社との出向契約に従うものとする。
2 臨時社員が情報セキュリティポリシーに違反した場合は、「パートタイマーおよびアルバイト取扱規則」に従うものとする。
3 派遣社員および協力会社社員が情報セキュリティポリシーに違反した場合は、派遣元または業務委託先との契約に従うものとする。
付 則
本規程は、平成○年○月○日より施行する。
