ちょっとITプロジェクト セキュリティポリシー(第5版:2024年7月更新)
株式会社チアーマンサポート
「ちょっとITプロジェクト」はビジネスパートナーによる業務が中心であり、ITの利用をせずに業務は成り立ちません。一方、お客様との関係において、セキュリティ事件が発生した場合の損害や機会損失は甚だしいものになることも考えられます。そこで、お客様に安心して当社サービスを受けていただくため、また当社の情報資産を保護するために『情報セキュリティポリシー』を策定します。
「ちょっとITプロジェクト」に参画するパートナーおよびスタッフは、情報セキュリティの重要性を十分に認知し、この『情報セキュリティポリシー』を遵守します。
ちょっとITプロジェクトの業務(以下、「業務」という)に使用するパソコン、スマートデバイスにはパスワードなどを設定し、他人が利用できないようにします。また、業務で使用する情報共有・連絡ツールには可能な限り多要素認証を採用します。
業務に使用するパソコン、スマートデバイスにはウィルス対策ソフトをインストールし、定義ファイルを自動更新するよう設定します。
業務でWi-Fi(無線LAN)を使用する場合、無線LANのセキュリティ方式として「WPA2」又は「WPA3」を利用し、無線の暗号化パスワードは第三者に推測されにくいものを利用します。
業務に使用するパソコン、スマートデバイスへのアプリケーションのインストールは、安全であることが確認できる方法のみ(公式アプリケーションストアからのインストール等)に限定します。
OSやソフトウェアやルーター等のファームウェアを最新な状態に保つため、自動でアップデートするよう設定します。
ちょっとITでは、コンサルティング実施のため、お客様よりお預かりした、公開されておらず、当該企業しか知り得ない企業情報は全て機密情報として扱います。これ以外に、個人が特定されうる情報、取引先から機密と指定された情報を、機密情報とします。
機密情報が入ったファイルをやり取りする場合は、以下の処置を施します。
a. オンラインドライブで共有する(推奨)
b. 電子メール添付送信の場合、ファイル又は圧縮ファイルに必ずパスワードを設定し、パスワードはメール本体とは別手段で送る(事前に月次パスワードを取り決める、電話等の別手段で送る方法を推奨)
c. 情報保護モードで送信する
複数の人が立ち入る場所において 機密情報を含む書類を保管する場合は鍵のかかる場所とします。
業務で使用するスマートデバイスの紛失時に、位置情報の検出やデータ消去ができるようにします。
ちょっとITの業務で使用する機密情報は、社内で定められた場所に置き、デバイスの盗難・紛失の際に情報を保護・管理できるようにします。
ちょっとITの業務で使用する電子ファイルおよびデータ類は、デバイス上で作成したものであっても、バックアップのため、ちょっとITで指定するクラウド・ストレージ(GoogleDrive)、または、事前に当社内で合意し決められた場所に保管します。
セキュリティ・インシデント(業務利用する機器類やデータの紛失・盗難、ウィルス感染、不正アクセスなど)が発生した場合は、当社代表に速やかに報告します。
業務に使用するパソコン、スマートデバイスは原則として他人と共用しません。やむを得ず共用する場合はユーザーアカウントを分け、業務に関連するフォルダにアクセスさせない設定にします。
業務に使用するデバイス、各種ツールのパスワードは以下のような対策で、解読されることの回避、万一漏洩した場合の被害の最小化に努めます。
a.英数字記号を含めて10文字以上とする。
b.同じパスワードの使い回しは避ける。
c.多要素認証が利用できる場合は活用する。
d.パスワード管理ツールを活用する
業務で使用するデータ類は基本的にUSBやCD-ROMなどで持ち歩きません。やむを得ず持ち歩く場合は、ファイル又は圧縮ファイルに必ずパスワードを設定します。デバイス間のデータの移動にUSBメモリ等を使う場合は、移動完了直後に当該データを消去し、紛失や盗難が起こらないよう注意します。
業務に使用するパソコン、スマートデバイスは、定期的にバックアップを取得するようにします。
不審な電子メールの添付ファイルや本文中のURLリンクを介したウィルス感染に気を付けるようにします。
シェアオフィスやカフェなどの公共の場、あるいは電車・バスなどで移動中に業務を行う場合は、他人に画面を盗み見られないように座る位置や画面の向きに配慮します。のぞき見防止スクリーンの装着等の対策も積極的に検討します。
SNSでの発信に際しては、ちょっとITプロジェクトの一員として、また中小企業診断士として、個人の意見であっても内容が適切かどうか確認します。
以上