1. 目的:

   1.1 会社の情報セキュリティを強化し、データ、システム、設備、ネットワークなどの重要な資産の継続的な正常運用を確保するために、会社は「情報セキュリティポリシー」を策定しました。

 2. 適用対象:

   2.1 会社の全従業員はこのポリシーを遵守する必要があります。

 3. 情報セキュリティの目的:

   3.1 会社の情報システムの機密性、完全性、可用性を確保し、会社が継続的かつ中断なく運営できるようにします。

 4. 情報セキュリティ管理措置:

• 4.1 情報システム管理手順の管理方法に従い、信頼性が高く安全な情報システムを構築します。
• 4.2 重要な情報システムの可用性を維持するために、バックアップおよび災害復旧訓練を実施する必要があります。
• 4.3 会社は情報セキュリティ保護を強化するために、外部ネットワーク上に情報セキュリティシステムを確立しなければなりません。
• 4.4 従業員が使用するコンピュータは、適切な情報セキュリティ保護管理が必要です。
• 4.5 従業員が保有する関連アカウントに対して、適切な管理メカニズムを確立する必要があります。
• 4.6 会社は、メールを使用するリスクが高い職員に対して、ITの中断と情報セキュリティ意識に関する年次教育と訓練を提供しなければなりません。
• 4.7 会社が使用するソフトウェアのリストを管理のために確立し、従業員は無許可または海賊版のソフトウェアを使用することを厳しく禁止します。
• 4.8 情報セキュリティチームを設立し、情報セキュリティの実施状況を定期的に経営陣に報告します。
• 4.9 会社は情報セキュリティシステムのための年次予算を準備し、情報セキュリティ保護を強化するためのシステムアップグレードまたは改善計画を実施します。

 5. 見直しと改訂:

   5.1 この情報セキュリティポリシーは、毎年見直され、改訂されて発表されます。

情報セキュリティ管理フレームワーク

 防御能力の向上

• 外部アクセス制御を強化する（2要素）
• スパムフィルタリングシステムを確立する
• 多層的なウイルス対策システムをインストールする
• 外部攻撃防御システムを構築する
• 脆弱性スキャンを実施する

情報セキュリティ管理

• アカウント権限管理
• ホストシステム保護
• コンピュータルームのセキュリティ管理
• ファイアウォールの構築と管理
• データアクセス制御
• エンドポイント保護管理
• システムバックアップ管理

 潜在的リスク管理

• メールソーシャルエンジニアリング演習の実施
• サイバーセキュリティ防御を強化するためのサイバーセキュリティチームの設立
• サイバーセキュリティ意識向上トレーニングの実施
• 災害復旧計画演習の実施
• MDRアウトソーシング管理の導入

 法律の遵守

上場企業の情報セキュリティ管理に関するガイドラインに従い、年間予算を配分してシステムのアップグレードと改善計画を段階的に実施し、情報セキュリティの保護を強化します。