1. 情報セキュリティは会社の全従業員の共同責任であり、各レベルの従業員はその責任を十分に理解し、遂行しなければなりません。
2. 全体的な情報資産の安全を維持するため、情報セキュリティの目標と認識、行動規範の確立は、以下の点を考慮しなければなりません:
- 2.1 完全な情報セキュリティ組織の構築;
- 2.2 資産管理;
- 2.3 人材のセキュリティ確保;
- 2.4 物理的および環境的なセキュリティ管理の確保;
- 2.5 通信および運用管理のセキュリティ確保;
- 2.6 安全なアクセス制御管理メカニズムの構築確保;
- 2.7 情報システムの取得、開発、保守管理のセキュリティ確保;
- 2.8 情報セキュリティインシデントの完全な処理の確保;
- 2.9 事業継続管理の確保;
- 2.10 暗号技術の安全な実施;
- 2.11 情報施設の安全な運用の確保;
- 2.12 サプライヤーの情報セキュリティ管理の確保;
- 2.13 情報セキュリティ法規の遵守と審査の確保;
- 2.14 情報セキュリティに関する適用要件を満たすことへのコミットメント。
3. 情報セキュリティ管理システムの構築と維持は、法律法規の要求および契約上のセキュリティ責任に完全に基づいており、会社の企業リスク管理の背景と結びついています。
4. 情報セキュリティリスクを効果的に管理するためには、リスク評価方法、情報セキュリティ法規の要求、リスク受容基準、およびリスクの受容可能レベルなどを含むリスク評価および運用管理手順を確立し、それを確実に実行しなければなりません。
5. 情報セキュリティの事業継続計画を策定し、実際に演習を行い、情報業務の継続的な運用を確保します。
6. 情報システムおよびネットワークサービスの使用権限を明確に規定し、不正なアクセス行為を防止します。
7. データセンターの物理的および環境的な安全保護措置を確立し、定期的に関連する保守を行います。
8. 情報セキュリティ教育訓練を実施し、情報セキュリティポリシーおよび関連する実施規定を周知します。
9. 情報ハードウェア施設およびソフトウェアの管理メカニズムを確立し、リソースを統一的に配分し、効果的に活用します。
10. 新しい情報システムは、構築前に情報セキュリティの要素を考慮に入れ、システムセキュリティを害する状況の発生を防ぎます。
11. 情報セキュリティポリシーは定期的に評価し、情報セキュリティ管理、法令、技術、および当社の業務の最新状況を反映させ、当社の情報セキュリティ実務作業の実現可能性と有効性を確保します。
12. モバイルデバイスおよびリモート使用の情報セキュリティ対策を確保し、モバイルデバイスの使用に起因するリスクを管理します。これには、リモートワーク場所でアクセス、処理、または保存される情報の保護が含まれます。
13. 情報セキュリティ目標を設定するための根拠となる方向性を提供します。