情報セキュリティ対策基準
(2018年8月制定)
ふくもと公認会計士・税理士事務所
1.物理的対策基準
(1) 事務所
- 事務所への入退出を適切に管理すること
- 窓、非常口など通常の出入口以外の通路を適切に管理すること
- 地震、火災、侵入などの影響を考慮した立地、建造物であること
(2) セキュリティ区画
- 重要度の高い情報を保有する区画又はアクセス可能な端末を設置する区画について、ドアが施錠され、壁又は堅牢なパーテーションで区切られ、入退室を適切に管理すること
- 同区画において、温度、粉塵、湿度、振動等の環境要因を適切に管理し、消火設備、検知器が必要な保守点検を受けていること
- 同区画に対して、深夜休日単独作業を管理すること
2.システム対策基準
(1) ネットワーク
- ネットワーク接続の仕様、機器を統一して管理すること
- 各ネットワーク機器の状況、トラフィック、システム停止に関して、適切な統制管理を行うこと
- レベル2以上の電子データを保有する機器について、ファイアウォール、暗号化通信等の適切なセキュリティ仕様を適用し、適切に運用されていることを適時に管理すること
(2) ハードウェア
- セキュリティレベルに応じて信頼性のある機器を選定すること
(3) OS、ソフトウェア(グループウェア、データベース等)
- セキュリティに配慮したソフトウェアの設定を行うこと
- 適時にパッチなどの更新プログラムを適用すること
(4) 業務システム
- 適切な品質管理を行い、利用する電子データのレベルに応じたセキュリティ対策をとること
(5) ウィルス
- 適切なウィルス対策ソフトを使用し、パターン・ファイルを適時に更新すること
(6) バックアップ
- 電子データの重要度分類に基づき、適切な頻度で電子データ等のバックアップを行うこと
3.アクセス管理基準
(1) アクセス管理
- 重要な電子データにアクセスする場合は、個人別にIDとパスワードを用いること
- 電子データごとに利用(変更可能権限を含む。)可能な権限を設定すること
- 当該権限は、定期的及び職務権限変更時に見直すこと
(2) ID管理
- 管理台帳(紙か電子的かを問わない。)を整備し、常に最新の状態に保つこと
- 定期的に棚卸を行い、退職者などの不要なIDが残されたままになっていないか確認すること
(3) パスワード管理
- 推測されにくいパスワード(例えば、英数字混在の8桁以上)を使用すること
- 有効期限を決めるなど、必要に応じて変更すること
- 上記仕様は、システムで強制設定すること
4.職員等行動基準
(1) 電子メールの利用制限
- 業務に関係のない電子メールの私的利用は原則として禁止すること
- 当事務所が定めるメールソフト又はメールシステム以外を使用しないこと
- 電子メールの本文には機密情報等の重要な事項を記載しないこと
(2) インターネットの利用制限
- 業務に関係のないウェブサイトの閲覧及びインターネットの私的利用は、原則として禁止すること
- 当事務所が取り扱う情報をインターネット上に発信・公開しないこと
(3) ソフトウェアのインストール制限
- 業務に関係のないソフトウェアのインストールは、原則として禁止すること
- 業務上必要と考えられるソフトウェアのインストールに当たっては、セキュリティ責任者の許可を得た上で実施すること
(4) 重要な情報の個人保管の禁止
- 業務上重要な電子データに関しては、原則として個人のPCや記憶媒体に保存せず、当事務所で定めた所定のサーバに保存すること
- 業務上重要な紙媒体に関しては、原則として個人が管理するデスク等には保管せず、当事務所で定めた所定のキャビネットに保管し、施錠すること
- PCが盗難又は紛失にあった場合、利用者は、直ちにセキュリティ責任者に報告すること
(5) 書類の管理(コピー、プリンタにより出力した文書など)
- 業務上重要な情報をコピーした場合又はプリンタにより出力した場合は、速やかに回収し、長時間放置しないこと
(6) 機密事項に関する会話に関する注意
(7) PCの管理
- PCは、盗難又は毀損の防止に向けて、各利用者が責任を持って管理すること
情報の分類
当事務所の情報を、次の4種に分類する。
- レベル3(極 秘):特定の責任者以外の使用を禁止する。
- レベル2(秘 密):業務担当以外の使用を禁止する。
- レベル1(社外秘):社内のみの使用に限定する。
- レベル0(公 開):使用制限なし。
レベル3 (極 秘)
1.利用可能者
- 当該業務の責任者及び責任者の許可した主任担当者
- 事務所内で任命された品質管理者等
2.保管場所
- 物理的媒体の場合、常時施錠された金庫等に保管する。
- 電磁記録は暗号化し、紙媒体の場合、複写を困難とする対策を講じる。
- インターネット経由の電子メール送信は禁止する。
3.運搬・通信
- 高度の暗号化を行い安全に行う。
なお、伝送の場合は、専用回線又はこれと同等の回線を使用する。
4.認証
保管データの使用に当たっては、指紋等による生体認証、ICカード、パスワード等の認証方法を複数組み合わせる。
レベル2(秘 密)
1.利用可能者
当該業務責任者の許可した担当者
2.保管場所
- 物理的媒体の場合、施錠可能な保管庫等に保管する。
- 電磁記録は暗号化し、ファイルサーバに共有データとして保存する場合、当該サーバは十分な安全対策を施す。
- 電子メールでの送信については、十分な暗号化対策を講じる。
3.運搬・通信
- 物理的媒体の場合は、担当者又は信頼できる業者が安全に輸送する。
- 電子データについては、適切な暗号化を行う。
4.認証
利用に当たっては、鍵、ICカード、パスワード等の認証を必要とする。
レベル1(社外秘)
1.利用可能者
2.保管場所
以上