独立行政法人情報処理推進機構(IPA)出策定したガイドラインの対応状況は
以下通りです。
1.情報セキュリティに対する組織的な取り組み状況
1-1 情報セキュリティに関する経営者の意図が従業員に明確に示されていますか?
➡ 情報セキュリティに経営者が策定に関与しており、経営者の意図が明確に示されています。
1-2 情報セキュリティ対策に関わる責任者と担当者が明示されていますか?
➡ はい。情報セキュリティー部署及び情報総責任者がいます。
1-3 管理すべき重要な情報資産を区分していますか?
➡ 管理すべき重要な情報は情報資産として区分し、管理しています。
1-4 重要な情報については、入手、作成、利用、保管、交換、提供、消去、破棄における取 り扱い手順を定めていますか?
➡ 重要な情報の取り扱い手順を定めて管理しています。
1-5 外部の組織と情報をやり取りする際に、情報の取り扱いに関する注意事項について合 意を取っていますか?
➡ 重要な情報の外部への提供の際暗号化をするようにし、対応しています。
来客の場合は来客のスペースを設け、外部への情報漏れを防いでいます。
1-6 従業者(派遣を含む)に対してセキュリティに関して就業上何をしなければいけないか を明確にしていますか?
➡ 就業上のセキュリティに関するルールを全社員遵守するように明確化して対応しています。
・ 従業者を採用する際に、守秘義務契約や誓約書を交わす。
・ 従業者が順守すべき事項を明確にしている。
・ 違反を犯した従業員に対する懲戒手続きが整備されている。
・ 在職中及び退職後の機密保持義務を明確化している。
1-7 情報セキュリティに関するルールの周知と、情報セキュリティに関わる知識習得の機会を与えていますか?
➡ 定期的に教育活動を実施しています。
2.物理的セキュリティ
2-1 重要な情報を保管したり、扱ったりする場所の入退管理と施錠管理を行っています か?
➡ 生体認証を利用し、厳重な入退室管理を行っています。
2-2 重要なコンピュータや配線は地震などの自然災害や、ケーブルの引っ掛けなどの人的 災害に配慮し適切に配置・設置していますか?
➡ 社内のネットワーク装置・配線の配置を適正に行っております。
2-3 重要な書類、モバイル PC、記憶媒体などについて、整理整頓を行うと共に、盗難防止 対策や確実な廃棄を行っていますか
➡ 各部署、デバイスを決まった場所に鍵をかけて保管するようにしています。
端末廃棄の場合、重要な情報が漏れないようにストレージは破壊しています。
3.情報システム及び通信ネットワークの運用管理状況
3-1 情報システムの運用に関して運用ルールを策定していますか?
➡ 運用ルールを策定しています。
3-2 ウイルス対策ソフトをはじめとしたアプリケーションの運用を適切に行っていますか?
➡ 社内にファイアウォール、VPN、ウィルス対策ソフトなどを運用して適正に管理しています。
3-3 導入している情報システムに対して、最新のパッチを適用するなどの脆弱性対策を行 っていますか?
➡ 各個人のPCに対しては脆弱性があった場合、すぐパッチを実施、社内のシステムのサーバは定期的に脆弱性パッチを実施しています。
3-4 通信ネットワークを流れる重要なデータに対して、暗号化などの保護策を実施していますか?
➡ データをEnd-To-Endで256-bit AES圧縮、暗号化して送信しています。
3-5 モバイル PC や USB メモリなどの記憶媒体やデータを外部に持ち出す場合、盗難、紛失などに備えて、適切なパスワード設定や暗号化などの対策を実施していますか?
➡ PCに対して8桁以上のパスワードと特殊文字を含めて暗号を掛けるようにしています。社内システムに外からアクセスできないようにして管理をしています。
4.情報システムのアクセス制御の状況及び情報システムの開発、保守におけるセキュリティ対策の状況
4-1 情報(データ)や情報システムへのアクセスを制限するために、利用者IDの管理(パス ワードの管理など)を行っていますか?
➡ 情報システム利用にID/パスワードを設け管理しています。
4-2 重要な情報に対するアクセス権限の設定を行っていますか?
➡ 重要な情報に対するアクセス権限は限られた担当のみに与えており、その情報を他人に与えない ように管理しています。
4-3 インターネット接続に関わる不正アクセス対策(ファイアウォール機能、パケットフィルタ リング、ISP サービス 等)を行っていますか?
➡ ウィルス対策ソフト、VPN環境の運用、ファイアウォールを運用に外部からの侵入に対応しています。
4-4 無線LANのセキュリティ対策(WPA2 の導入等)を行っていますか?
➡ 安全なパスワードを利用して、来客用の無線LANは定期的に変更しています。
4-5 ソフトウェアの選定や購入、情報システムの開発や保守に際して、情報セキュリティを 前提とした管理を行っていますか?
➡ 安全なソフトウェアを利用し、フリーソフトなどの利用は禁止にしています。
5.情報セキュリティ上の事故対応状況
5-1 情報システムに障害が発生した場合、業務を再開するために何をすべきかを把握して いますか?
➡ 障害に備えて常にその対応マニュアルを点検し、その教育活動も実施しています。
5-2 情報セキュリティに関連する事件や事故等(ウイルス感染、情報漏えい等)の緊急時に、何をすべきかを把握していますか?
➡ セキュリティ事故が発生した場合、そのセキュリティ事故の原因を把握し、隔離、改善活動を実施するように社内マニュアルが整備されています。