情報資産保護に関する基本方針(セキュリティーポリシー) |
- 第1条 目的
- 当金庫は金融機関としての社会的責任を果たすため、当金庫が保有する情報資産(以下「情報資産」と言う)を適切に保護し管理しなければならない。
万が一にも情報資産の漏洩、紛失、不正使用、改ざん(以下「漏洩等」と言う)が行われ、または故障、障害、誤処理(以下「障害等」と言う)その他の理由により情報システムが停止した場合には、当金庫の業務遂行に重大な影響が及ぶことはもとより、企業イメージが低下し信用が失墜することにより当金庫に多大な損失がもたらされ、会員を含む地域の中小企業者や住民の方々にご迷惑をおかけする事になる。このため当金庫は本情報資産保護に関する基本方針(以下「本基本方針」と言う)を定める。
- 第2条 役職員の責務及び違反行為の禁止
- 全ての役職員(嘱託・臨時職員・パートタイマーを含む)は、本基本方針並びに情報セキュリティに関する規定等(以下「本基本方針等」と言う)に基づき行動する義務を負い、本基本方針等に違反する行為をしてはならない。
また、違反行為を部下職員(嘱託・臨時職員・パートタイマーを含む)及び当金庫との契約のもとに業務を行う者に命じてはならない。
|
- 第3条 情報資産の定義
- 情報資産とは、当金庫が保有する各種情報と、各種情報を処理し、または正当に保護・使用するための情報システムの総称であり、ハードウエア、ソフトウエア、ネットワーク、各種データファイルのほか、ドキュメント(設計書、仕様書、手順書等の各種資料)及び役職員が業務上知り得た顧客情報等を言う。
- 第4条 情報資産の分類
- 情報資産を重要性や機密性に応じ、次のとおり分類する。
- 情報
- (1)最重要情報資産 「重要な情報」のうち漏洩等の行為がなされる事により、当金庫の顧客に多大な影響を与え、または当金庫への信頼を著しく失墜させる可能性のある情報。
* 顧客の資産、負債、財務内容に関する情報
* 経営情報
* パスワード(暗証番号)
- (2)重要情報資産 「重要」な情報として厳格な取扱を行う情報
* 業務上の顧客情報
* 部外秘の庫内情報
- (3)一般情報資産 庫内及び対外的に公開している情報
* 上記以外の情報資産
- 情報システム
- (1)最重要情報システム 障害等の発生により、当金庫の業務遂行に重大な影響が生じ、企業イメージの低下と信用の失墜により多大な損失をもたらす可能性のある情報システム
* 勘定系システム
* 資金移動を伴うシステム
- (2)重要情報システム 「重要」なシステムとして厳格な取り扱いを行う情報システム
* 顧客情報を取り扱うシステム
* ユーザーが限定された庫内情報を取り扱うシステム
- (3)一般情報システム 一般業務を取り扱う情報システム
* 上記以外のシステム
- 第5条 本基本方針等の周知
- 本基本方針並びに業務遂行上使用する情報資産に関する法令等の遵守について、全ての役職員を対象に周知徹底を図る。
- 第6条 情報資産の使用制限
- 情報資産は、正当な必要性を有する者が使用する。また、正当な必要性に基づいてのみ使用されるよう、規定・要領等を整備する。
- 第7条 情報資産の保護
- 情報資産の保護は、各情報資産の重要度やそれを取り巻く脅威及び脅威の顕在化の可能性を考慮した上で現状での技術水準やコストを認識し、合理的な安全対策により行う。
- 第8条 安全対策基準の策定と規定類の整備
- 情報資産の企画・開発・運用・利用にあたっては、本基本方針に準拠した「安全対策基準」の策定と関連する規定・要領等の整備を行い、これらに則り管理を行う。また、「安全対策基準」と関連する規定・要領等の内容については、随時見直しを行う。
- 第9条 外部委託
- 情報資産の開発・運用・利用に係わる派遣契約・委託契約を締結する際は、本基本方針等に準拠した守秘義務契約を締結する。また、委託部門は、委託先において必要な安全対策が実施されていることを確認する。
- 第10条 利用制限・使用確認
- 情報資産保護が必要な場合は、情報資産利用の制限を行う事がある。また、安全対策のため、個人毎のシステムへのアクセスや、電子メール等の記録を確認する事がある。
|
- 第11条 情報セキュリティ管理体制
- 当金庫の情報セキュリティ管理体制は、次のとおりとする。
- 情報セキュリティを統括監督する担当役員を置く。
- 情報セキュリティの統括部署は業務部とし、統括責任者は業務部長が担当する。
統括部署の業務部は、関係する部署と連携して情報セキュリティに関する各種規定・要領等を確立するとともに、その周知徹底に対して責任を負う。
- 各担当部室店には、情報資産管理責任者(以下「管理責任者」と言う)を置く。また、「管理責任者」は各部室店長とし、担当部署における情報資産の使用と適切な管理について責任を負う。
- 各担当部室店には、情報資産管理担当者(以下「管理担当者」と言う)を置く。
また、「管理担当者」は各部室店長が任命し、任命された「管理担当者」は、担当部署における情報資産の安全対策の周知・維持・管理を実施し、有効に機能させる義務を負う。
- 第12条 システム企画・開発・運用管理体制
- 相互牽制の機能が十分発揮できるよう、情報システムの企画・開発担当と運用担当を分離した体制を整備し、次の企画・開発・運用を行う。
- 「管理責任者」は、情報システムの企画・開発について、企画・開発単位に「企画・開発管理者」を任命する。「企画・開発管理者」は役席者とし、「システム開発管理要領」に従い、信頼性が高く、かつ効率的なシステムの企画・開発を行う。
- 「管理責任者」は、当金庫で運用している情報システムについて、システム単位あるいは業務単位に、運用管理、データ管理、ネットワーク管理等の管理を行うため「運用管理者」を任命する。「運用管理者」は役席者とし、それぞれのシステムについて定められた「運用管理要領」に従い、安全、かつ円滑な運用が行われているかについて管理を行う。
|
- 第13条 外部監査・内部監査
- システムリスクに関するシステム内部監査は、担当部店に対して監査部が定例的に実施する。また、システムリスクに関する監査法人等による外部監査は、必要に応じ実施する。
|
- 第14条 防犯・防災・障害対策
- 情報システム及び電算関係室の防犯、防災、障害対策は、それぞれのシステムについて定められた「運用管理要領」に従い、実施する。
- 第15条 危機管理対応
- 災害及び当金庫の内部や外部に起因する障害により、情報システムが長時間停止する場合は、別に定めた「危機管理計画書」(コンティンジェンシープラン)により取扱う。
|
- 第16条 規程の改廃
- 本基本方針は、必要に応じて随時改廃する。
本基本方針の改廃は、常勤理事会の決議を得るものとする
- 附則
- 本基本方針は、平成15年 9月17日常勤理事会承認制定
|
|
