情報システム管理規程
第1章 総則
(目的)
第1条 本規程は、当社における情報システム(以下「システム」という)の導入、運用、維持管理、廃棄に関する基本的事項を定めることにより、システムの有効活用および情報資産の適正な保護を図り、当社の業務遂行および競争力強化に寄与することを目的とする。
(適用範囲)
第2条 本規程は、当社が保有、利用する全てのシステムおよびこれらに関連する設備、ネットワーク、データ、サービスおよびアプリケーションに適用する。外部委託先が提供するシステムおよびサービスについても本規程の適用もしくは準拠を求める。
(用語の定義)
第3条 本規程における主な用語の定義は、別表1(用語定義集)に定める。
(責任と権限)
第4条 情報システム管理責任者(CIOまたはCISO等)は、本規程に基づくシステム管理全般に責任を負う。
2 情報システム部門は、システムの導入、運用管理、セキュリティ対策、およびユーザサポートに関する実務を担当する。
3 システム利用部門は、業務上必要なシステムを適正に利用し、関連規程や手順に従う責任を負う。
4 全従業員は、本規程および関連する情報セキュリティ規程を理解し、遵守しなければならない。
第2章 システムの計画・導入管理
(システム計画)
第5条 新規システム導入、既存システムの更新・改修にあたっては、中長期的なIT戦略、業務目標、予算計画を踏まえ、経営層または関連委員会の承認を得たうえで、導入計画を策定する。
(要件定義)
第6条 システム導入時には、業務要件、機能要件、性能要件、セキュリティ要件、可用性、スケーラビリティ、および拡張性等を明確にし、これらを要件定義書として管理する。
(ベンダー・外部サービス選定)
第7条 システムに関するハードウェア、ソフトウェア、サービス調達時には、品質、価格、サポート体制、セキュリティ・コンプライアンスへの対応状況を考慮し、適正なプロセスによりベンダー・外部サービスを選定する。
2 契約締結時には、利用条件、SLA、保守・サポート内容、セキュリティおよびプライバシーに関する条件を明確化したうえで締結する。
(検収)
第8条 システム導入、更新・改修後には、要件通りに機能するか、セキュリティ要件を満たしているか、パフォーマンステスト、ユーザ受入テスト、セキュリティ評価等を実施し、検収を行う。検収合格後、正式運用を開始する。
第3章 システム運用・維持管理
(アカウント・アクセス管理)
第9条 システムへのアクセス権限は、職務分掌に基づき必要最小限とし、アクセス管理ポリシーに従って適切に付与・変更・削除する。
2 定期的にアクセス権限レビューを実施し、不要なアカウントや過剰な権限を削除または是正する。
(セキュリティパッチ・アップデート管理)
第10条 OS、ミドルウェア、アプリケーションソフトウェア、セキュリティ製品に対するパッチやバージョンアップは、信頼できる情報源から入手し、事前テストを経たうえで適用する。
2 緊急セキュリティパッチについては、別途定める緊急対応手順に従って速やかに適用する。
(バックアップおよびリストア)
第11条 重要データおよび構成情報は、定期的にバックアップし、安全な場所に保管する。
2 バックアップからの復元テストは計画的に実施し、災害発生時やシステム障害時に迅速な業務継続が可能であることを確認する。
(障害管理)
第12条 システム障害が発生した場合は、障害対応フローに従い、速やかに対処し、原因究明および再発防止策を実施する。
2 障害対応結果は記録・分析し、サービス改善に活用する。
(変更管理)
第13条 システムおよび関連環境に対する変更は、変更管理プロセスに基づき、事前に影響分析、承認、テストを行う。
2 予定外の緊急変更の場合でも、事後報告・承認手続きを必ず行う。
(パフォーマンスおよびキャパシティ管理)
第14条 システムのパフォーマンスと容量は定期的にモニタリングし、将来需要に対応できるよう計画的な増強や最適化を実施する。
(ライセンス・資産管理)
第15条 ハードウェア・ソフトウェアライセンスおよびクラウドサービス利用契約は、合法かつ適正に管理し、ライフサイクルを通じて台帳・資産管理システムにより正確に把握する。
第4章 セキュリティおよびリスク管理
(情報セキュリティポリシーへの準拠)
第16条 本規程は、当社情報セキュリティポリシーおよび関連規程・標準手順に準拠する。全てのシステムは、適切なセキュリティ対策を講じることを必須とする。
(認証・認可・暗号化)
第17条 システムは、適切な認証・認可メカニズムおよび通信・データ暗号化手段を実装し、機密性・完全性・可用性を確保する。
(ログ管理)
第18条 システムの利用ログ、アクセスログ、セキュリティログは適正に保存・監視し、インシデント発生時には速やかな原因特定と対処を可能にする。
2 ログ保存期間とアクセス権限は、法的要件およびセキュリティポリシーに従って定める。
(インシデント対応)
第19条 情報セキュリティインシデント(不正アクセス、マルウェア感染、情報漏えい等)が発生した場合は、インシデント対応規程および手順に従い速やかに対応する。
2 インシデント対応後は、原因分析および改善策を講じ、再発防止に努める。
第5章 クラウドおよび外部サービス利用
(外部サービス利用方針)
第20条 クラウドサービス(IaaS、PaaS、SaaS)や外部ASP等を利用する場合は、セキュリティ、信頼性、SLA、データ保護、コンプライアンス要件を満たすことを条件とし、情報システム部門および必要に応じて法務・コンプライアンス部門の審査・承認を経る。
(データ移転および所在管理)
第21条 外部サービス上に保存するデータは、データ所在国、データ保護要件、個人情報保護法規制への適合性を考慮し、必要な契約上の合意と技術的コントロールを行う。
第6章 教育・監査・改善
(教育・訓練)
第22条 システム利用者に対して、情報セキュリティ意識向上および適正なシステム利用方法に関する定期的な教育・訓練を実施する。
(内部監査)
第23条 システム管理体制および本規程遵守状況については、内部監査または外部監査を定期的に実施し、その結果を経営層に報告する。
2 監査指摘事項は速やかに是正し、継続的な改善を図る。
(改善活動)
第24条 本規程および関連手続きは、技術進歩、法令改正、組織変更に応じて定期的に見直し、改善する。
第7章 附則
(施行日)
第25条 本規程は、2023年10月1日より施行する。
(改廃)
第26条 本規程の改廃は、情報システム管理責任者の提案に基づき、経営層の承認をもって行う。
【別表1:用語定義集(例)】
- 「情報システム」:当社が運用するコンピュータシステム、ネットワーク、ハードウェア、ソフトウェア、アプリケーション、データベース、クラウドサービスなど、情報処理を行うための資産の総称。
- 「アクセス権限」:システム資源に対するユーザの操作・参照可能範囲を示す権限。
- 「インシデント」:情報セキュリティ上の事故や問題(不正アクセス、機密情報漏えい、サービス妨害等)。
- 「SLA(Service Level Agreement)」:サービスの品質や可用性など、サービス提供者と利用者間で取り決められた合意事項。
以上。