ログイン無料で試す

ホーム規程テンプレート 情報セキュリティ情報セキュリティ規程

情報セキュリティ規程

コード: V-002 / カテゴリ: 情報セキュリティ

このテンプレートが必要な理由

情報資産の機密性・完全性・可用性確保のための基本規程。情報セキュリティ責任者・情報資産管理責任者体制、極秘 / 秘 / 社内限り / 公開の分類、アクセス制御、パスワード管理(12 文字以上)、端末管理、データ送信、マルウェア対策、事故対応、教育、監査を網羅し ISMS / Pマーク 対応の参考になる。

改定時のチェックリスト

ISMS / Pマーク 更新審査、社内インシデントの発生、外部委託先の追加・変更があった場合は最低限見直してください。クラウド利用範囲・端末持ち出しルールの実態とのギャップは 3 か月毎に棚卸しを推奨します。

テンプレート本文

〔会社名〕〔施行日〕などのプレースホルダーを自社情報に置換してご利用ください。規程ログの 30 日無料トライアルを使うと、Web エディタ上で AI が 自動で差し替え、版管理 / 既読証跡まで自動化できます。

この規程ですぐに 30 日無料で試す ›

クレジットカード不要・60 秒で登録完了

情報セキュリティ規程

注: 本規程は ISMS / Pマーク 対応の参考になります。

第1章 総則

第1条 (目的)

本規程は、〔会社名〕(以下、「会社」という。)における情報資産の機密性・完全性・可用性を確保するため、情報セキュリティに関する基本的事項を定め、もって会社の事業継続及び法令・契約上の義務の履行を図ることを目的とする。

第2条 (適用範囲)

本規程は、会社の役員及び従業員(パートタイマー、アルバイト、派遣社員、業務委託者を含む。以下「従業員等」という。)が、会社の業務に関連して取り扱う一切の情報資産に適用する。

第3条 (定義)

本規程において、各用語の定義は次のとおりとする。

  1. 情報資産 — 会社が業務上保有又は管理する情報及び情報システム(データ、ソフトウェア、ハードウェア、ネットワーク、紙媒体を含む)。
  2. 機密性 — 認可された者のみが情報にアクセスできる状態。
  3. 完全性 — 情報及びその処理方法が正確かつ完全な状態。
  4. 可用性 — 認可された者が必要時に情報及び関連資産にアクセスできる状態。
  5. 情報セキュリティ事故 — 情報資産に関する事故又はその恐れがある事象(漏えい、改ざん、滅失、不正アクセス、マルウェア感染等)をいう。

第2章 体制

第4条 (情報セキュリティ責任者)

  1. 会社は、情報セキュリティ全般を統括する責任者として情報セキュリティ責任者を置く。
  2. 情報セキュリティ責任者は、情報システム部門の長を兼任することができる。

第5条 (情報資産管理責任者)

各グループ長は、自グループが管理する情報資産について情報資産管理責任者となり、情報セキュリティ責任者の方針に従って自グループの情報資産を管理する。

第3章 情報資産の分類と取扱い

第6条 (情報資産の分類)

会社が取り扱う情報資産は、機密性に応じて次の各号に分類する。

  1. 極秘 — 漏えいした場合、会社又は関係者に重大な損害を与える情報(経営戦略、未公表の財務情報、個人情報のうち要配慮個人情報、暗号鍵 等)
  2. — 漏えいした場合、会社又は関係者に損害を与える情報(顧客情報、契約情報、人事情報、技術情報、個人情報 等)
  3. 社内限り — 社外への開示を予定しない情報(社内規程、社内通達、内部資料 等)
  4. 公開 — 既に公開されているか、公開を予定する情報

第7条 (取扱基準)

情報資産は、その分類に応じて次の基準により取り扱う。

  1. 極秘 — 取扱者を限定し、暗号化・施錠保管・アクセスログ取得を必須とする。社外送信は原則禁止し、必要な場合は情報セキュリティ責任者の事前承認を要する。
  2. — 業務上必要な者のみが取り扱う。社外送信は暗号化又はパスワード保護を要する。
  3. 社内限り — 業務上必要な範囲で社内利用に限る。
  4. 公開 — 制限なし。

第4章 アクセス制御

第8条 (アクセス権限)

  1. 情報資産へのアクセス権限は、業務遂行上必要最小限の範囲で付与する。
  2. アクセス権限の付与・変更・削除は、情報資産管理責任者の承認を経て、情報セキュリティ責任者が記録する。
  3. 従業員等の異動・退職時には、速やかにアクセス権限を変更又は削除する。

第9条 (パスワード管理)

  1. 業務システムのパスワードは、英大文字・英小文字・数字・記号のうち 3 種類以上を組み合わせ、12 文字以上とする。
  2. パスワードは、他人に知られないよう厳重に管理し、共用しない。
  3. 重要システムについては、多要素認証を導入する。
  4. パスワードは、本人のみが知り得る形で管理し、紙又は電子データとして平文で保存しない。

第10条 (端末管理)

  1. 会社が貸与する端末(PC、タブレット、スマートフォン等)は、情報セキュリティ責任者が指定するセキュリティソフトをインストールし、最新の状態に保つ。
  2. ストレージは暗号化する。
  3. 業務に関係のないソフトウェアのインストール及び設定の変更を禁ずる。
  4. 端末の紛失・盗難があった場合は、直ちに情報セキュリティ責任者に報告する。

第5章 データの取扱い

第11条 (データの保存)

  1. 業務上のデータは、会社が指定する社内システム又はクラウドストレージに保存し、私有端末・私有クラウドへの保存を禁ずる。
  2. 重要データは、定期的にバックアップを取得し、別保管場所に保管する。

第12条 (データの送信)

  1. 「秘」以上の情報を社外に送信する場合は、暗号化又はパスワード保護を施し、パスワードは別経路で送付する。
  2. 個人情報を社外に送信する場合は、個人情報管理規程の定めに従う。

第13条 (記録媒体の持出し)

  1. 「秘」以上の情報を含む記録媒体(USB メモリ、外付け HDD 等)の社外持出しは、原則として禁止する。
  2. やむを得ず持ち出す場合は、暗号化を施した上で、情報セキュリティ責任者の事前承認を要する。

第14条 (廃棄)

  1. 不要となったデータは、復元不可能な方法により消去する。
  2. 紙の重要文書は、シュレッダーその他復元不可能な方法により廃棄する。
  3. PC・サーバの廃棄又は譲渡時は、ストレージのデータ消去又は物理的破壊を行う。

第6章 不正アクセス・マルウェア対策

第15条 (マルウェア対策)

  1. すべての端末に、会社が指定するアンチウイルスソフトを導入し、最新の定義ファイルに更新する。
  2. 不審なメール・添付ファイル・URL を開かない。
  3. 不審な動作を検知した場合は、直ちにネットワークから切断し、情報セキュリティ責任者に報告する。

第16条 (ネットワーク利用)

  1. 社外の公衆 Wi-Fi を業務利用する場合は、VPN 接続を経由する。
  2. 業務目的外のサイトへのアクセス、特に違法・有害サイトへのアクセスを禁ずる。

第7章 事故対応

第17条 (情報セキュリティ事故の報告)

  1. 従業員等は、情報セキュリティ事故又はそのおそれがある事象を発見した場合、直ちに所属長及び情報セキュリティ責任者に報告する。
  2. 情報セキュリティ責任者は、事故の影響範囲を調査し、関係者・関係官庁・本人への通知を含む対応を検討・実施する。

第18条 (再発防止)

情報セキュリティ事故が発生した場合、情報セキュリティ責任者は原因究明を行い、再発防止策を策定し、必要に応じて本規程及び関連規程を改定する。

第8章 雑則

第19条 (教育)

会社は、従業員等に対し、情報セキュリティに関する教育を年 1 回以上実施する。

第20条 (監査)

情報セキュリティ責任者は、本規程の遵守状況を年 1 回以上点検し、結果を経営層に報告する。

第21条 (違反時の措置)

本規程に違反した者については、就業規則に基づき懲戒処分の対象とすることがある。

第22条 (改廃)

本規程の改廃は、稟議規程に基づき決定する。

附則

本規程は、〔施行日〕から施行する。

このテンプレートを取り込んで運用を始める ›

ユーザー数無制限・規程数無制限・閲覧ログ / 監査ログ CSV 出力すべて含む

関連テンプレート(情報セキュリティ

30 日無料で試す ›