Security Policy情報セキュリティポリシー

1. 目的

   本ポリシーは、エイトグループの情報資産を保護し、業務の継続性を確保することを目的とします。また、情報セキュリティの確保により、顧客・パートナーとの信頼関係を構築し、法令や規制を遵守することを目指します。

2. 適用範囲

   本ポリシーは、エイトグループの全ての従業員、契約社員、外部委託先、およびそれらが利用する情報システム、ネットワーク、データなどの関連する情報資産に適用されます。

3. 情報セキュリティの基本方針

   ・機密性の確保: 情報はその取扱いに関する権限を持つ者のみがアクセスできるように管理します。

   • 完全性の確保: 情報は正確で、完全であることを維持し、不正な変更を防止します。
   • 可用性の確保: 必要な情報は適切なタイミングで利用可能であるように確保します。
   • 遵守事項: 法令や規制、社内の規定を遵守し、情報セキュリティに関する役割と責任を明確にし、その責任を全うします。

4. 情報資産の分類と管理

   情報資産はその重要性に応じて分類され、以下の基準で管理されます：

   • 機密情報: 顧客情報、企業の戦略情報、知的財産など、漏洩した場合に重大な影響を及ぼす情報。
   • 内部情報: 組織内部でのみ使用される情報。
   • 公開情報: 一般公開が許可された情報。

5. リスクアセスメントと管理

   定期的にリスクアセスメントを実施し、情報資産に対する脅威や脆弱性を特定し、リスクを最小化するための対策を講じます。リスク管理の結果に基づき、適切な技術的および組織的な対策を実施します。

6. アクセス管理

   情報資産へのアクセスは、業務上の必要性に基づき、最小権限の原則に従って管理します。すべてのユーザーには固有の認証情報が与えられ、アクセス記録は不正アクセスや不審な挙動の検知のため、定期的に監視されます。

7. セキュリティインシデントの対応

   情報セキュリティインシデント（データ漏洩、システム侵入、ウイルス感染など）が発生した場合、迅速に対応し、被害を最小限に抑えるための対応策を講じます。また、インシデント発生後は原因分析を行い、再発防止策を実施します。

8. 教育と訓練

   全従業員は定期的に情報セキュリティに関する教育を受け、最新の脅威や対策について理解を深め、情報セキュリティ意識の向上を図ります。また、新たに入社した従業員には初期教育を実施します。

9. 物理的セキュリティ

   情報資産を保管する施設に対しては、物理的なアクセス制限を設け、不正アクセスや災害の影響を最小限に抑えるための措置を講じます。

10. 監査と評価

    定期的に情報セキュリティポリシーと実施状況を監査し、ポリシーが実効性、準拠性、適切性の観点から有効に機能しているかを評価します。監査結果に基づき、改善策を講じます。

11. 責任と義務

    情報セキュリティに関する責任は全社員にあります。各従業員は、本ポリシーを遵守し、情報セキュリティを脅かす行動を取らないようにします。違反が発覚した場合、適切な処分を受けることがあります。

12. 改訂

    本ポリシーは、技術的、法的、または業務上の要請に応じて、定期的に見直し、改訂されます。