情報セキュリティ個別方針

A.5.1.1（A.5.1.2）　情報セキュリティのための方針群（のレビュー）

「情報セキュリティ基本方針と個別方針」を含む”方針群”は、当社管理層が承認し、社内及び外部関係者に周知し、定期的にレビューします。

A.6.2.1　モバイル機器の方針

社外へ持ち出しする情報機器は、登録された情報機器とし、適切に点検します。

A.6.2.2　テレワーキング（方針）

情報セキュリティに影響を与える項目を判断し、その可否及び対策を個別に実施します。

A.9.1.1　アクセス制御方針

アクセス権は、当社管理層が管理し、社員に対し適切なアクセスを可能とします。
適用範囲内の社員については、職務上必要と認められた情報資産へのアクセスを可能とし、適用範囲外の社員については、全ての情報資産へのアクセス権を与えません。アクセス権は、異動・退職・その他等必要に応じて見直します。

A.10.1.1　暗号化による管理策の利用方針

暗号化は、”顧客の暗号ルール”を適用し、それが無い場合、”当社の暗号ルール”を採用し、当事者間で秘密に処理され、当事者以外はアクセスできないように管理します。

A.10.1.2　鍵管理方針

適切に暗号鍵の利用（SSLの鍵データ）、その他の保護及び有効期間（lifetime）を管理する。

A.11.2.9　クリアスクリーン・クリアデスク方針

離席時は、スクリーンセーバー等を利用し、他者が端末にアクセスできないようにします。
長時間離席と帰宅時には、業務中利用する情報資産も所定の場所に保管し、机上に放置しないことにより他者がアクセスできないようにします。

A.12.3.1　バックアップ（方針）

定期的に指定した機器のデータやシステム領域をバックアップします。
定期的にバックアップ内容を確認し、それらの復元手順を確立します。

A13.2.1　情報転送の方針及び手順

携帯端末を公共の場で使う時は、社内基準に従い盗聴と盗視を防ぎます。
FAX・メール・その他ツールを使う時は、番号・アドレス・アカウント等を確かめ、社内基準に従い、また送信時は必要に応じて到達確認を行います。

A.14.2.1　セキュリティに配慮した、開発・取得のための方針

システム開発・取得時における情報セキュリティ対策に関する手順を定め推進します。
情報セキュリティに配慮したインフラ環境の構築を推進しリスクの低減に努めます。情報セキュリティに関して必要な知識を明確にし有識者の育成に努めます。

A.15.1.1　供給者関係のための情報セキュリティ方針

第三者の施設やサービスを利用する場合、データやプログラムの損傷や消失・規格準拠違反・頻繁な障害や停止・災害・サービスの提供打ち切りなど、起こり得るリスクを正しく把握し、それぞれに対する管理策を立てて契約書などに盛り込みます。