セキュリティ・ポリシー(情報セキュリティ対策の基本方針)
○○監査法人
1.基本方針
この基本方針は、京浜晃和監査法人の業務を実施するに当たり、すべての事務所職員が情報セキュリティの重要性を認識した上で遵守すべき方針である。対象となるすべての情報は、その重要性に応じ「情報セキュリティ対策基準」に基づき、取り扱われなければならない。
2.目的
この基本方針は、当事務所が社会的信頼性の高い業務を提供するに当たり、取り扱う情報の漏洩や消失といった事態を未然に防ぐべく、必要となるセキュリティ対策を実施するためのポリシーを明確にすることを目的とする。
3.対象範囲
この基本方針の対象とする情報の範囲は以下の事項とし、電子データのみならず紙媒体の情報も含むものとする。
・ 業務実施により知り得たクライアント等の情報
・ 実施した業務に関する情報(契約金額、作業時間等)
・ 事務所がノウハウとして独自に保有する情報(マニュアル、事例など)
・ その他の情報(事務所職員の人事情報、経営情報など)
4.対象者と適用範囲
この基本方針の対象者には、事務所職員のみではなく、警備・清掃業務等の委託先、派遣職員等を含む。また、基本方針は、対象範囲の情報を取り扱うすべての場所、回線、機器に適用する。
5.管理体制
情報管理の責任は、最高経営責任者(「監査の品質管理規程」第2条参照)が担うものとする。その実行、管理に当たっては、セキュリティ責任者を定めて実施する。
6.情報の分類
対象となる情報については、以下の観点から重要性に応じた分類を行う。
(1) 漏洩による影響
担当者の不正使用及び担当者以外の事務所職員及び外部からの不正アクセス、文書・媒体の複製及び持出し、盗難に関して、当該情報が漏洩した場合の信用の失墜、損害賠償、罰則を考慮して重要性を決定する。
(2) 消失による影響
事故、不正操作、火災、天災等により当該情報が消失した場合、情報を適時に利用できない場合の影響を考慮して重要性を決定する。
(3) 誤謬による影響
過失、改ざん等により、情報に誤謬を生じた場合の影響を考慮して重要性を決定する。
7.情報の保管期限
情報の種類、重要度に応じて保管期限を定める。なお、保管期限を過ぎた情報については、必要な承認手続きを経て、廃棄・削除するものとする。
8.実施状況の点検及び監査
この基本方針及び情報セキュリティ対策基準の遵守状況について、定期的にセキュリティ実施状況の点検を行うとともに、内部監査を実施する。
9.評価及び見直しの実施
実施状況の点検及び監査の結果並びにその他ITの進歩等、組織を取り巻く状況の変化を踏まえ、基本方針、対策基準及び実施手順書の見直しを定期的に行う。
以上
(2014年4月制定)
情報セキュリティ対策基準
京浜晃和監査法人
1.物理的対策基準
(1) 事務所
事務所への入退出を適切に管理すること
窓、非常口など通常の出入口以外の通路を適切に管理すること
地震、火災、侵入などの影響を考慮した立地、建造物であること
(2) セキュリティ区画
重要度の高い情報を保有する区画又はアクセス可能な端末を設置する区画について、ドアが施錠され、壁又は堅牢なパーテーションで区切られ、入退室を適切に管理すること
同区画において、温度、粉塵、湿度、振動等の環境要因を適切に管理し、消火設備、検知器が必要な保守点検を受けていること
同区画に対して、深夜休日単独作業を管理すること
2.システム対策基準
(1) ネットワーク
ネットワーク接続の仕様、機器を統一して管理すること
各ネットワーク機器の状況、トラフィック、システム停止に関して、適切な統制管理を行うこと
レベル2以上の電子データを保有する機器について、ファイアウォール、暗号化通信等の適切なセキュリティ仕様を適用し、適切に運用されていることを適時に管理すること
(2) ハードウェア
セキュリティレベルに応じて信頼性のある機器を選定すること
(3) OS、ソフトウェア(グループウェア、データベース等)
セキュリティに配慮したソフトウェアの設定を行うこと
適時にパッチなどの更新プログラムを適用すること
(4) 業務システム
適切な品質管理を行い、利用する電子データのレベルに応じたセキュリティ対策をとること
(5) ウィルス
適切なウィルス対策ソフトを使用し、パターン・ファイルを適時に更新すること
(6) バックアップ
電子データの重要度分類に基づき、適切な頻度で電子データ等のバックアップを行うこと
3.アクセス管理基準
(1) アクセス管理
重要な電子データにアクセスする場合は、個人別にIDとパスワードを用いること
電子データごとに利用(変更可能権限を含む。)可能な権限を設定すること
当該権限は、定期的及び職務権限変更時に見直すこと
(2) ID管理
管理台帳(紙か電子的かを問わない。)を整備し、常に最新の状態に保つこと
定期的に棚卸を行い、退職者などの不要なIDが残されたままになっていないか確認すること
(3) パスワード管理
推測されにくいパスワード(例えば、英数字混在の8桁以上)を使用すること
有効期限を決めるなど、必要に応じて変更すること
上記仕様は、システムで強制設定すること
4.職員等行動基準
(1) 電子メールの利用制限
業務に関係のない電子メールの私的利用は原則として禁止すること
当事務所が定めるメールソフト又はメールシステム以外を使用しないこと
電子メールの本文には機密情報等の重要な事項を記載しないこと
(2) インターネットの利用制限
業務に関係のないウェブサイトの閲覧及びインターネットの私的利用は、原則として禁止すること
当事務所が取り扱う情報をインターネット上に発信・公開しないこと
(3) ソフトウェアのインストール制限
業務に関係のないソフトウェアのインストールは、原則として禁止すること
業務上必要と考えられるソフトウェアのインストールに当たっては、セキュリティ責任者の許可を得た上で実施すること
(4) 重要な情報の個人保管の禁止
業務上重要な電子データに関しては、原則として個人のPCや記憶媒体に保存せず、当事務所で定めた所定のサーバに保存すること
業務上重要な紙媒体に関しては、原則として個人が管理するデスク等には保管せず、当事務所で定めた所定のキャビネットに保管し、施錠すること
PCが盗難又は紛失にあった場合、利用者は、直ちにセキュリティ責任者に報告すること
(5) 書類の管理(コピー、プリンタにより出力した文書など)
業務上重要な情報をコピーした場合又はプリンタにより出力した場合は、速やかに回収し、長時間放置しないこと
(6) 機密事項に関する会話に関する注意
執務室外で業務に関連する会話をしないこと
(7) PCの管理
PCは、盗難又は毀損の防止に向けて、各利用者が責任を持って管理すること
以上
(2014年4月制定)
情報の分類
京浜晃和監査法人
京浜晃和監査法人の情報を、次の4種に分類する。
レベル3(極 秘):特定の責任者以外の使用を禁止する。
レベル2(秘 密):業務担当以外の使用を禁止する。
レベル1(社外秘):社内のみの使用に限定する。
レベル0(公 開):使用制限なし。
レベル3 (極 秘)
1.利用可能者
当該業務の責任者及び責任者の許可した主任担当者
事務所内で任命された品質管理者等
2.保管場所
物理的媒体の場合、常時施錠された金庫等に保管する。
電磁記録は暗号化し、紙媒体の場合、複写を困難とする対策を講じる。
インターネット経由の電子メール送信は禁止する。
3.運搬・通信
高度の暗号化を行い安全に行う。
なお、伝送の場合は、専用回線又はこれと同等の回線を使用する。
4.認証
保管データの使用に当たっては、指紋等による生体認証、ICカード、パスワード等の認証方法を複数組み合わせる。
レベル2(秘 密)
1.利用可能者
当該業務責任者の許可した担当者
2.保管場所
物理的媒体の場合、施錠可能な保管庫等に保管する。
電磁記録は暗号化し、ファイルサーバに共有データとして保存する場合、当該サーバは十分な安全対策を施す。
電子メールでの送信については、十分な暗号化対策を講じる。
3.運搬・通信
物理的媒体の場合は、担当者又は信頼できる業者が安全に輸送する。
電子データについては、適切な暗号化を行う。
4.認証
利用に当たっては、鍵、ICカード、パスワード等の認証を必要とする。
レベル1(社外秘)
1.利用可能者
事務所職員
外部委託の場合、秘密保持契約を要する。
2.保管場所
配付資料は回収する。
十分な職員教育を行う。
以上
(2014年4月制定)
