公益財団法人渋川財団まちづくり財団情報セキュリティ基本方針

令和3年2月18日

(目的)
第1条 公益財団法人渋川財団まちづくり財団情報セキュリティ基本方針(以下「基本方針」という。)は、財団が保有する情報資産の機密性、完全性及び可用性を維持するための基本的な方針について総合的かつ体系的に定めることにより、利用者の財産及び個人情報等の保護並びに安定的な財団の運営を図ることを目的とする。

(定義)
第2条 基本方針において、次の各号に掲げる用語の意味は、当該各号の定めるところによる。

  1. ネットワーク通信を行うために用いられる機器及び回線をいう。
  2. 情報システム業務系の電子計算機(業務系におけるネットワーク、ハードウェア及び ソフトウェア)及び記録媒体で構成され、処理を行う仕組みをいう。
  3. 情報資産ネットワーク及び情報システムの開発と運用に係るすべての情報並びにネットワーク及び情報システムで取り扱うすべての情報をいう。
    なお、情報資産には、紙等の有体物に出力された情報も含むものとする。
  4. 情報セキュリティ 情報資産の機密の保持及び正確性、完全性の維持並びに定められた範囲での利用可能な状態を維持することをいう。

(適用範囲)
第3条 基本方針は、財団におけるすべての情報資産及び職員等 並びに外部委託業者に対して適用する。

(情報セキュリティポリシー遵守の義務)
第4条 財団が所掌する情報資産に関する業務に携わるすべての職員等及び外部委託事業者は、情報セキュリティの重要性について共通の認識をもつとともに業務の遂行に当たって情報セキュリティポリシーを遵守する義務を負うものとする。

(情報資産への脅威)
第5条 情報資産を脅かす脅威は、次に掲げるものとする。

  1. 部外者の侵入による機器又は情報資産の破壊・盗難、故意の不正アクセス又は不正操 作による機器又は情報資産の破壊、盗難、改ざん、消去等
  2. 職員等又は外部委託業者による機器又は情報資産の持ち出し、誤操作、アクセスのための認証情報又はパスワードの不適切管理、故意の不正アクセス又は不正行為による破壊、 盗聴、改ざん、消去等、搬送中の事故等による機器又は情報資産の盗難、規定外の端末接 続によるデータ漏洩等
  3. コンピュータウイルス、地震、落雷、火災等の災害並びに事故、故障等によるサービス及び業務の停止

(情報セキュリティ対策)
第6条 前条に規定する脅威から情報資産を保護するために、次の情報セキュリティ対策を講ずるものとする。

  1. 物理的セキュリティ対策 情報システムを設置する施設への不正な立入り、情報資産への損傷、妨害等から保護するために物理的な対策を講ずる。
  2. 人的セキュリティ対策 情報セキュリティに関する権限や責任を定め、すべての職員等及び外部委託事業者に情報セキュリティポリシーの内容を周知徹底する等、十分な教育 及び啓発が講じられるように必要な対策を講ずる。
  3. 技術及び運用におけるセキュリティ対策情報資産を外部からの不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術面の対策、システム開発等の外部委託、ネットワークの監視、情報セキュリティポリシーの遵守状況 の確認等の運用面の対策を講ずる。
    また、緊急事態が発生した際に迅速な対応を可能とするための危機管理対策を講ずる。

(対策基準の策定)
第7条 基本方針に基づき、情報セキュリティ対策を実施するために必要となる統一的な基準を定めるため、情報セキュリティ対策基準を策定する。

(実施手順の策定)
第8条 情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するため、情報システム又は業務ごとに情報セキュリティ対策の具体的な手順等を明記した情報セキュリティ実施手順を策定する。
なお、情報セキュリティ対策基準及び情報セキュリティ実施手順は、公にすることにより財団の運営に重大な支障を及ぼすおそれのある情報資産であることから非公開とする。

(監査の実施)
第9条 情報セキュリティポリシーが遵守されていることを検証するため、定期的に監査を実施する。

(評価及び見直しの実施)
第10条 情報セキュリティ監査の結果等により、情報セキュリティポリシーに定める事項 及び情報セキュリティを取り巻く状況の変化に対応するために情報セキュリティポリシーの評価及び見直しを実施する。

附 則 この方針は、令和3年4月1日から施行する。