物理的セキュリティ規則
物理的セキュリティ規則のテキスト
物理的セキュリティ規則
第1章 総 則
(目 的)
第1条 この規則は、株式会社〇〇(以下「会社」という。)におけるコンピュータやネットワーク機器などを、損壊や盗難などから保護し、またそれらから発生する情報資産を保護することを目的とする。
(適用範囲)
第2条 この規則は、会社で所有または使用するすべてのコンピュータおよびネットワーク機器などに適用する。また、会社の役員および従業員(以下「役職員」という。)に適用する。
(定 義)
第3条 この規則に用いられる主な用語の定義は、次のとおりとする。
(1)情報機器
コンピュータおよびその他のコンピュータ周辺機器のこと。
(2)ネットワーク機器
LANを相互に接続するためのルーターや、複数のワークステーションなどをLANに接続するときに用いるハブなど、情報通信ネットワークを構成するための機器のこと。
(3)情報資産
広義には、情報機器やネットワーク機器などのハード資産、およびコンピュータソフトウェアや情報などのソフト資産すべてのことをいう。また、狭義には、ソフト資産のことを指す。
第2章 物理的セキュリティ管理体制
(管理体制)
第4条 会社は、物理的セキュリティ管理の遂行のため、物理的セキュリティの管理主体(以下「主管部署」という。)を決める。また、物理的セキュリティの管理責任者(以下「管理責任者」という。)を任命する。主管部署および管理責任者は、以下のとおりとする。
2 各部署で個別に導入・利用するコンピュータなどについては、その導入部署を主管部署とし、導入部署の長は管理責任者となる。また、管理責任者は、セキュリティの管理を担当するセキュリティ担当者を指名する。
3 会社で導入し、各部署で使用しているコンピュータなどについては、情報システム部を主管部署とし、セキュリティ管理の統括部署(以下「統括部署」という。)とする。また、その長を統括責任者とする。
4 その他、いくつかの部署間で共同導入したコンピュータなどについては、関係部署の管理責任者で話し合い、いずれか一部署を主管部署に決定する。
第3章 物理的セキュリティ管理実施手順
(情報機器などの導入)
第5条 コンピュータおよびネットワーク機器などを導入する必要性が生じた場合、あらかじめ主管部署の管理責任者は、導入希望機器名、設置場所などを決めて統括責任者に申請する。
2 統括責任者は、購入業者や設置業者などを決め、管理責任者に連絡する。この際、統括責任者は業者の信用度などを重視して決定する。管理責任者は、設置業者と相談し、設置場所・設置方法について、導入する情報機器などの特性を考慮し、導入後最適な動作環境が見込める場所を選定する。
3 セキュリティ担当者は、導入した情報機器などについて、設置場所や利用者などの情報を、管理台帳に記入し管理する。
4 役職員は、個人の所有するコンピュータなどを会社へ持ち込むことは、原則禁止とする。
5 役職員は、業務上やむを得ず、個人の所有するコンピュータなどを会社へ持ち込む必要性が生じたときは、あらかじめ主管部署の管理責任者に申請し、許可を受けなければならない。また、持ち込んだ際に、個人のコンピュータなどを社内のネットワークなどに接続してはならない。
6 役職員以外の者が、その企業の情報機器などを持ち込んで使用する場合、主管部署のセキュリティ担当者は、作業に立ち会うものとする。
(情報機器などの設置)
第6条 コンピュータやネットワーク機器などの設置に関し、盗難防止対策や災害時などの倒壊防止対策などを講じなければならない。
2 コンピュータやネットワーク機器の災害対策や故障対策として、情報機器や通信回線の予備または代替手段を用意しておく。
(1)複数の通信回線を用意する場合は、通信ケーブルとその引込口を分け、同時に被害が発生しないようにする。
(2)通信ケーブルの故障対策に、無線回線を用意する。
3 停電やブレーカが切れたりしたときのために、重要な機器にはUPS(無停電電源装置)をつけておく。
4 異常トラフィックの対策には、迂回ルートを用意し、自動的にトラフィック状態を監視し異常時には迂回ルートを利用するシステムを導入しておく。
5 コンピュータやネットワーク機器の適切な動作状態を保つため、温度・湿度対策、防塵対策などを講じる。
6 機密情報を管理するコンピュータは、コンピュータルームに設置し、入口に警備員を配置するなどして管理を厳重にする。コンピュータルームへの入退室は、すべて記録を残し保管しておく。
(運用上の注意事項)
第7条 コンピュータを使用中に席を離れる場合は、ログアウト(操作終了)や自動スクリーンロック機能などを使い、パスワードなしではコンピュータにアクセスできない状態にしておく。
2 退社する際には、ノートパソコンなど持ち運びしやすい情報機器は、施錠できるロッカーなどに保管し、施錠してから退社する。施錠できる保管場所がないときは、ノートパソコンにセキュリティボタンなどを装着しておく。
3 重要なデータは、ハードディスクだけに記憶させず、必ず、FDやCD–ROMなどの外部記憶媒体にバックアップを取っておく。外部記憶媒体は、コンピュータとは別の場所で施錠できる保管場所や、耐火金庫などに保管する。
(修理・廃棄)
第8条 セキュリティ担当者または管理責任者は、情報機器などを修理のため社外に持ち出す場合、内部の情報漏えいを防ぐため、信頼のおける修理業者を選択しなければならない。また、情報漏えい防止に関する取り決めを、契約書に明記しておく。
2 セキュリティ担当者は、ハードディスクを交換するとき、あるいは情報機器そのものを廃棄する場合には、データをすべてフォーマットしたうえで業者に引き渡すようにしなければならない。また、修理や廃棄の記録は、管理台帳にその旨を記載して管理する。
第4章 トラブル発生時の対応など
(トラブル発生時の対応)
第9条 役職員が、コンピュータやネットワーク機器などの盗難、あるいは損壊などのトラブルを発見した場合は、速やかに主管部署のセキュリティ担当者または管理責任者に連絡する。
2 主管部署の管理責任者またはセキュリティ担当者は、トラブルが発生した場合、速やかに対策を検討し実施する。
3 主管部署の管理責任者は、トラブル発生によって、事業継続に甚大な損失や支障があると判断した場合、直ちに統括責任者に報告する。統括責任者は、管理責任者と協議したうえで、速やかに対応を検討し実施する。
4 主管部署の管理責任者と統括責任者は、トラブルを解決した後、その原因を検証したうえで物理的セキュリティ管理を再構築し、再発防止に努める。また、役職員の行動に問題があった場合は、罰則を与えることも検討する。
(教育・普及)
第10条 管理責任者および統括責任者は、役職員に対して、この規則に規定された物理的セキュリティ管理についての教育・普及に努めなければならない。
付 則
(規則の改廃)
第1条 この規則の改廃は、「規程管理規程」による。
(実施期日)
第2条 この規則は、平成○年○月○日から施行する。